问题标签 [splunk-formula]

哪个更有效 - 在哪里或排序？我有大量的数据，效率对我很重要。我应该先做“哪里”，还是先做“排序”？

|其中 count>100 |排序计数水果

或者

|排序计数水果|其中计数>100

我有以下格式的 Splunk 结果：

我想以以下格式创建可视化：

计数变量仅基于“错误消息” 。由于“无法删除文件：/-/XYZ.FILE - 4：失败”出现了两次，因此计数设置为 2。随着日志的增长，以及此消息出现的增加，此计数也应该增加。

我尝试使用来自 Splunk 的 erex 和子字符串，但失败了！

这是我尝试的查询：

似乎正则表达式有问题：https ://regex101.com/r/smWKM8/2

任何有关如何修复此 REGEX 的帮助将不胜感激。

谢谢

我在 Splunk Enterprise 中遇到了关于获取我的场景的每秒平均事务数的问题。就我而言，我想在给定的时间段内，为每个 Web 服务请求获取平均每秒事务数......

当我使用以下语法时，它工作正常：

...但随后我获得了所有 Web 服务请求的平均每秒事务数。

如果我尝试以下操作：

...我没有得到任何结果

我在这里做错了什么吗？

非常感谢所有帮助和提示

这是日志的片段：

127.0.0.1 - - [01/Dec/2020:00:00:11 -0500] "GET / url:"api/orderLaptop for customer id 123"
127.0.0.1 - - [01/Nov/2020:00:00: 24 -0500] "GET / url:"api/orderLaptop 用于客户 ID 124"
127.0.0.1 - - [05/Nov/2020:00:00:11 -0500] "GET / url:"api/orderLaptop 用于客户 ID 333"
127.0.0.1 - - [01/Nov/2020:00:00:24 -0500] "GET / url:"api/orderCamera for customer id 124"
127.0.0.1 - - [05/Nov/2020:00: 00:11 -0500] "GET / url:"api/orderCamera for customer id 333"
127.0.0.1 - - [10/Aug/2020:00:00:24 -0500] "GET / url:"api/orderLaptop for客户 id 444"
127.0.0.1 - - [13/Aug/2020:00:00:24 -0500] "GET / url:"客户 id 434 的 api/orderCamera"

是否可以在 Splunk 中生成一份报告，显示客户每月购买了多少笔记本电脑和相机等产品。

我的预期输出应如下所示：

非常感谢。

截至今天，我们有两个正在运行的查询 

第一个查询：按 apiName 和状态分组的 api 计数

它显示了一个如下所示的表格

第二个查询：按 apiName 分组的 api 延迟

它显示了一个类似下面的表格

问题：

如果您看到上面的表格，这两个表格都使用apiName分组。有没有办法组合这些查询，以便我得到一个类似这样的结果

|=================================================== =================| | 接口名称 || 成功 || 错误 || 空|| RT_最快|| RT_最慢 | ==================================================== ================| | 测试1 || 10 || 20. || 20. || 20. || 20. | | 测试2 || 10 || 20. || 20. || 20. || 20. | | 测试3 || 10 || 20. || 20. || 20. || 20. | | 测试4 || 10 || 20. || 20. || 20. || 20. | | 测试5 || 10 || 20. || 20. || 20. || 20. | | 测试6 || 10 || 20. || 20. || 20. || 20. |

  我找不到任何有关将多个图表查询合并为一个的文档。有人可以帮我解决这个问题。谢谢 ：）