Splunk 将两个 SourceTypes 相同的列放入具有 2 轴的多线图表中
Splunk two SourceTypes same columns into multiline chart with 2 axis
来源类型=A | table EventTime NumOutages
来源类型=B | table 事件时间 NumOutages
table 事件时间 NumOutages_A NumOutages_B
X 轴将是按小时计算的时间,Y 轴将是 NumOutages 每个源类型一行
我试过加入和其他一些例子,但出于某种原因它对我不起作用。
您的示例 SPL 无效。由于两个源类型具有相同的字段,因此您不需要 join。请随意将 avg 更改为最能呈现您的数据的函数(最大值、最小值等)。
sourcetype=A OR sourcetype=B | timechart span=1h avg(NumOutages) by sourcetype
来源类型=A | table EventTime NumOutages 来源类型=B | table 事件时间 NumOutages
table 事件时间 NumOutages_A NumOutages_B
X 轴将是按小时计算的时间,Y 轴将是 NumOutages 每个源类型一行
我试过加入和其他一些例子,但出于某种原因它对我不起作用。
您的示例 SPL 无效。由于两个源类型具有相同的字段,因此您不需要 join。请随意将 avg 更改为最能呈现您的数据的函数(最大值、最小值等)。
sourcetype=A OR sourcetype=B | timechart span=1h avg(NumOutages) by sourcetype