问题标签 [splunk-calculation]

我试图在索引期间创建一个新字段，但是当我尝试连接时，这些字段变成了列而不是值。我究竟做错了什么 ？我查看了文档，似乎根据..

将不胜感激这方面的一些帮助。

例如

.csv 文件

转换.config

字段.config

正则表达式很好，从数据中创建了两个组，但为什么它创建一个新字段而不是将值分配给 result？。如果我要这样做......testresult::$1或者testresult::$2它工作正常，但是在连接时它会创建多个标题，其值为 headername。有没有更简单的方法来连接字段，例如，如果你有一个带有标题名称的 csv 文件，你可以不引用标题名称吗？（我知道如何使用计算字段来做这些，但想在索引期间做）

谢谢

我有一个 json 日志，如下所示

所有字段均已正确编入索引。我正在寻找在消息元素中提取 json 数据。我想使用 spath 将 FieldType,EncryptedDocKey,Domain,Partner,Carrier,RequestTrackerId 提取到自己的字段中。

也欢迎任何其他替代选择。谢谢你的帮助。

尝试了正则表达式，但它不起作用

我的日志文件“app.log”包含 20-30 行数据，例如..

我想创建一个仪表板来显示总记录（100）并显示成功批量大小的总和（30+40+30），如果总和等于总记录需要显示一个绿色的勾号。

我是 Splunk 的新手，我试图显示日志数据并从那里卡住，有人可以帮助我如何阅读和计算吗？我在 google 中尝试了一些文档，但没有运气，感谢您的帮助。

我是 Splunk 的新手，我在使用以下代码行时遇到了问题。我认为我正在尝试做的事情是不言自明的。本质上，我正在使用的数据是一列，列中的值是“0”或“1”。任何帮助将不胜感激。谢谢！

我是 splunk 仪表板开发的新手，到目前为止，我只使用“单一价值”来创建 KPI。

我有三个 KPI 的结果是 600、250、150

KPI 1 搜索表达式 - 结果为 600（示例）

KPI 2 搜索表达式 - 结果为 250（示例）

KPI 3 搜索表达式 - 结果为 150（示例）

我在仪表板中将 KPI 显示为数字。但是，我想显示一个饼图，上面的数字分别占 60%、25% 和 15% 的份额。创建此图表的搜索表达式是什么？

我正在处理 Splunk 要求，这就像 splunk 脚本计划从周一到周五每 15 分钟运行一次 30m。然而，他们有一个新的要求，即仅在周六和周日运行这个脚本 60m。

仅在周六和周日每 60m 运行一次的现有脚本中要进行哪些更改。请帮忙。

谢谢文卡特什

所以我有一些格式为

这是一个一致的模式，每个事务都有一个开始、中间和结束，每个事务都有不同的 UID（其他事务也有不同的车辆）。

我目前使用以下搜索命令将它们分组到事务中。

哪些交易分组显示了过去 X 时间长度内的交易数量（一天可能是数百/数千。

我需要使用actual_important_log_time字段获取每个事务的持续时间，然后使用这些值来获取平均值

我在 Splunk 中有一个值列表。我可以使用这个列表来计算avg(vals)和stdev(vals)。如何计算平均偏差。

平均偏差是平均值与列表中每个值之间的平均绝对差。

(Sum_x |mean-x|) / N

我有 2 个索引，其中一个字段（A）在两者中都很常见

现在我想要一个面板中两个索引器的相同字段（A）的计数。例如：

索引器 1= A=30 的
总事件计数 索引器 2= A=20 的总事件计数

现在在一个面板中，我想将 A 的总数显示为 50

我正在做一个查询，这样它将获取 a 值的总数，然后将其乘以某个常数。例如 ：

我想将计数返回的结果乘以 0.5。假设如果输出stats count为 124，我想将其乘以 0.5 并报告输出。