1

我正在使用相扑。我有这张表: 查询和表

并希望以这种格式显示数据:

  1. X 轴 - 时间戳
  2. Y 轴 - 持续时间的堆叠值(按 traceId 分组,因此一个堆叠列由第一个方法持续时间/第二个方法持续时间/.../一个跟踪 id 的第 n 个方法持续时间组成)

我有这个查询:

_source="http_metrics" and _collector="Hosted collector"
| timeslice 5m
| extract  "traceId\":\"(?<traceId>.*?)\",.*?name\":\"(?<name>.*?)\",.*?timestamp\":(?<timestamp>.*?),.*?duration\":(?<duration>.*?),.*arguments\":(?<arguments>.*?)}" multi
| formatDate(toLong(timestamp), "HH:mm:ss:SSS a") as timestamp
| number(duration)
| values(duration) as duration by traceId, name, timestamp
| transpose row name,timestamp column traceId
| sort by timestamp

我怎样才能得到这个问题的堆积柱形图?我不能使用 sumologic 中的示例,因为他们使用了带有 2 个字段的图表 - 时间和错误代码,在我的情况下,我有 3 个字段 - 名称、traceId 和时间戳(以及作为值的持续时间)

4

1 回答 1

0

我在获取值之前将“持续时间”字段转换为数字,然后使用带有“行时间戳列名称”的转置运算符:

  _source="http_metrics" 和 _collector="托管收集器"
       | 时间片 5m
       | 提取 "traceId\":\"(?.*?)\",.*?name\":\"(?.*?)\",.*?timestamp\":(?.*?),. *?duration\":(?.*?),.*arguments\":(?.*?)}" 多
       | formatDate(toLong(timestamp), "HH:mm:ss:SSS a") 作为时间戳
       | 值(持续时间)作为名称的持续时间,时间戳
       | 数量(持续时间)
       | 将行时间戳列名转置为 *
       | 按时间戳排序
于 2021-08-21T18:03:26.597 回答