问题标签 [splunk-calculation]

我是 Splunk 的新手。我是第一次使用它。我注意到如果间隔值为 60，它每分钟生成 2 个事件。

这让我很困惑。这是已知的情况吗？

我们有 Splunk 日志，例如：

我想找到所有id没有其他两个状态的东西。在这个例子中，所有id=2记录的第一个状态，但没有记录其他 2。我正在阅读 JOIN 并发现它只能查看两个事件发生的事件，但我们不能排除这些事件。

我正在考虑的 Query 应该返回一个不具有state=secondorstate=third在上面的示例中应该返回的 id 列表id=2

我们如何获得前 1000 个值的百分比以及更多字段.. 我在下面尝试过，但它不起作用..

|eval 百分比=round(count/total*100,1000) | eventstats count(src) 总计 | iplocation src| 按 src 、 dest 、 msg 、 Server_Group、Country、percent 统计的统计数据 | 排序计数 | 头 1000

我想计算特定 JSON 结构的出现次数。例如，在我的事件中，有一个名为dataJSON 的字段。但是这个领域可以有多种结构。喜欢：

现在我想知道每个 JSON 结构有多少事件有数据，我不关心值，只有键很重要。

我正在使用 Splunk DB Connect 从 Snowflake 获取 Splunk 中的数据。这只是简单的订单数据。在 Splunk 搜索和报告中，我在我的表上运行以下查询以获得可视化。

我看到的是，每次我运行查询时，splunk 的事件数都会大大增加。例如。第一次运行后，它们是342000 个事件，当我运行相同的查询时，它们是67445 个事件。知道为什么会这样吗？

我有一个索引 idx1 和另一个索引 idx2 以及一个需要进行匹配的公共列“A”。

我在合并两列数据时遇到了困难。我必须以这样的方式组合数据，如果有重复，那么来自 idx1 的数据必须优先于来自 idx2 的数据；即基本上相当于集合操作[a+(ba)]。

我尝试了以下方法：

在这里，我得到了两列填充的总计 10840 个统计信息。

但是，当我想显示两个索引中的其他列时，我会得到这些索引的空列。

执行后：

我得到的输出为

索引计数 idx1 4791 idx2 6049

谁能帮我我该怎么做？？

我什至尝试过，但不确定

你能帮我计算一下summay索引的时间戳吗？我们有磁盘空间问题，我们正在清除旧日志。但是我们想要保留一些现场数据，所以如果要安排一个 SI，那么它是否会一次添加过去 1 个月的数据..那么为什么我们需要安排它呢？已经浏览了splunk文档但无法理解步骤和逻辑..

我需要找到两个事件之间的持续时间。我查看了splunk和 Stack Overflow 上的解决方案，但仍然无法计算。

两者sentToSave都SaveDoc已经格式化了时间戳，这就是我使用 case 函数的原因。我能够看到字段填充了它们的时间戳，但我无法让该Duration字段填充持续时间 - 它根本不填充。

需要一些关于如何获得的帮助Duration- 任何建议？这是我的搜索：

大家好，希望大家一切都好...

事实证明，我必须找出购买过的客户有多少次联系公司部门投诉...我可以生成一个表格，显示通过 ID 进行实际购买的客户，我也可以为已经打电话投诉的客户制作一张桌子。

第一个表看起来像这样：

第二张桌子看起来像这样..

问题是我需要计算每个 ID 在线调用的次数，并带上购买的产品和在线收到的案例编号......但我只能想到一个 multiseach 来创建表格，但是我似乎找不到任何关于如何进行交叉验证甚至计数的文档，我觉得我的头撞到了墙上......

这是我正在使用的多重搜索：

但由于我是一个尝试学习 splunk 的 python 用户，我似乎无法找到获取此表的方法：

期望的结果：

非常感谢所有可以帮助我提供有关如何实现这一目标的指导或文档的人一百万，非常感谢！！！！！！！我从德克萨斯给你一个大大的拥抱！

我一直在试验 Splunk，试图从 OSISoft PI 时间序列数据库中模拟一些基本功能。

我有两个数据点希望显示一段时间内的趋势，以便比较它们之间的波动，特别是电力网络 MW 模拟标签。

在 PI 中，这很容易做到，但是我很难弄清楚如何在 Splunk 中做到这一点。

给定字段中的字段值“SubstationA_T1_MW”和“SubstationA_T2_MW”，我该如何实现Tag？

涉及的字段是TimeStamp, Tag, Value, 和Status

编辑：

下面列出的示例输入和输出：