問題タブ [splunk-dashboard]

Splunk の結果をバケットに分割するクエリを実行しています。ディスク上のサイズに基づいてファイルを分割してカウントしたい。これは、rangemapまたはを使用して実現できますeval case。

ここで読んだように、usingevalは よりも高速ですrangemap。しかし、両方を使用すると異なる結果が得られます。

これは私が実行しているクエリです-

そして、これは私が得ている結果です -

これを使用rangemapするのはクエリですが-

私もこの範囲を試しました-rangemap field=SizeInMB "0-150MB"=0-150 "150-200MB"=150-200 "200-300MB"=200-300 "300-500MB"=300-500 "500-1000MB"=500-1000 default="1000MB+"そして、同じ結果が得られました-

両方の画像の結果に大きな違いはなく、おそらくそれを受け入れることができます-しかし、150-200MBの範囲では. 445958 vs 445961、200-300 MB3676 vs 3677では3346 vs 3348. その違いの理由と、どちらをより信頼すべきかを理解したいと思います。Speedwiseevalの方が良さそうに見えますが、datawise はそれほど正しくないのでしょうか?

エラー率に基づいて上位 5 つの API を取得する Splunk クエリがあります。以下はそのクエリです

ユーザーIDが間に入るURLがあり、それらのユーザーIDを*に置き換えるために、rexコマンドを使用しましたが、ユーザーIDを*として置き換えて機能します

しかし問題は、URL で行われたヒットごとに userID が異なるため、それらを別々にカウントすることです。このため、上位 5 つの API ヒットの出力が異なります。

例: URL:/account/user/JHWERTYQMNVSJAIP/email ここで、JHWERTYQMNVSJAIP は userID であり、* に置き換えられます

クエリの出力を下回っています

これらの URL はすべて実際には 1 つですが、予想される出力は 5+4+4 を追加して、このように 1 回表示するようなものになるはずです。

それぞれuserIDが異なるため、別途カウントが必要です。これに関する助けをいただければ幸いです。前もって感謝します

API を使用していくつかのデータを消費しています。すべての顧客にかかった平均時間を計算したいと思います。各取り込み (特定の顧客のために消費されたデータ) の後、その顧客の時間マトリックスを出力します。

timechart span=24h avg(total_time)

平均を計算するために、単純に時間フィールドを抽出して avg(total_time) を実行することはできません。なぜなら、customerA が 1 時間で取り込みを完了し、customerB が 24 時間かかる場合、顧客 A は 24 回、B は 1 回記録されるため、不正確になります。結果と平均を下げる。

フィルターの作成方法 期間が 7 日間だとすると、7 日間で最大の total_time を持つ特定の顧客のログ行のみを取得します。つまり、特定の顧客の 7 日間の最大 total_time を持つ顧客ごとに 1 つのログ行です。