在 Splunk 中创建静态 table
Create a static table in Splunk
我有一小部分 table 数据,我想在仪表板上显示为参考 - 例如:
date | val1 | val2
9/16/2020 | 10 | 12
9/17/2020 | 11 | 14
9/18/2020 | 12 | 13
我想显示为折线图:
我发现构建它的方式非常复杂:
| makeresults
| eval testDay="9/16/2020"
| eval testVal1=10
| eval testVal2=12
| append
[| makeresults
| eval testDay="9/17/2020"
| eval testVal1=11
| eval testVal2=14
]
| append
[| makeresults
| eval testDay="9/18/2020"
| eval testVal1=12
| eval testVal2=13
]
| chart first(testVal1), first(testVal2) over testDay
有没有更简单的方法?也许更像我在 post 开头的 table 中的小表格语法?或者至少更像:
val1 = [10,11,12]
有一个更简单的方法。这是我在回答有关 Splunk 的问题时用来生成测试数据的。
| makeresults
| eval _raw="date val1 val2
9/16/2020 10 12
9/17/2020 11 14
9/18-2020 12 13"
| multikv forceheader=1
| chart values(val1) as val1, values(val2) as val2 by date
header 和数据垂直排列对 mutlikv 正常工作很重要。
我有一小部分 table 数据,我想在仪表板上显示为参考 - 例如:
date | val1 | val2
9/16/2020 | 10 | 12
9/17/2020 | 11 | 14
9/18/2020 | 12 | 13
我想显示为折线图:
我发现构建它的方式非常复杂:
| makeresults
| eval testDay="9/16/2020"
| eval testVal1=10
| eval testVal2=12
| append
[| makeresults
| eval testDay="9/17/2020"
| eval testVal1=11
| eval testVal2=14
]
| append
[| makeresults
| eval testDay="9/18/2020"
| eval testVal1=12
| eval testVal2=13
]
| chart first(testVal1), first(testVal2) over testDay
有没有更简单的方法?也许更像我在 post 开头的 table 中的小表格语法?或者至少更像:
val1 = [10,11,12]
有一个更简单的方法。这是我在回答有关 Splunk 的问题时用来生成测试数据的。
| makeresults
| eval _raw="date val1 val2
9/16/2020 10 12
9/17/2020 11 14
9/18-2020 12 13"
| multikv forceheader=1
| chart values(val1) as val1, values(val2) as val2 by date
header 和数据垂直排列对 mutlikv 正常工作很重要。