Splunk timechartの引数を作る
Timechart using Subsearch to set Span
で答えたことのまとめ
小ネタすぎる
結果
subsearch_text.spl
| tstats count where index=_internal earliest=1 by _time [| makeresults | eval query="span=2h" | return $query]
subsearch_text.spl
| tstats count where index=_internal earliest=1 by _time [| makeresults | eval query="span=2h" | return $query]
🐨コアラでもわかるSplunkシリーズ サブサーチとは何かを調べるでいろいろ調べたとおり、サブサーチの結果はテキストでメインサーチに戻せる。
今回はreturnを使用して文字列をそのまま渡してあげている。
Splunk Answers質問の答えは
timechat_span.spl
| tstats sum(PREFIX("kb=")) as total_kv where index=_internal source="*metrics.log" by _time
[| makeresults
| addinfo
| eval span=case(info_max_time - info_min_time <=3600,"1m"
,info_max_time - info_min_time<=14400,"15m"
,info_max_time - info_min_time<=86400,"30m"
,info_max_time - info_min_time<=2592000,"1d"
,info_max_time - info_min_time>2592000,"1mon")
| eval query="span=".span
| return $query]
検索期間を変えると、それによりspan=の値が変化してくれる。
なんか、いろいろと使えそうな気がする。
Author And Source
この問題について(Splunk timechartの引数を作る), 我々は、より多くの情報をここで見つけました https://qiita.com/toshikawa/items/b30fc9edf05584462e98著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .