#重命名a为b
| rename a as b #日期格式化并计算
| eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z")
| eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值)
| eval myvalue=if((b+c)=0,0,b+c) #保留两位小数
eval result=round(total,2)#在dashboard中使用单$来引用变量,如果嵌套使用的search中也有变量,需要在search中使用双$$
$value1$ //dashboard
$$value2$$ //search in dashboard#循环(将该字段的每个值的count都列出来放在一个table中)
| makeresults
| fields - _time
| eval multivalue="value1,value2,value3,value4"
| makemv multivalue delim=","
| mvexpand multivalue
| map search="| search index="xxx" source="yyy" myfield=$multivalue$ | stats count as fieldcount"
| eval myfield=$multivalue$
| table myfield fieldcount#追加列
| appendcols[search index="xx" ...]#在table中加一列显示sparkline
| stats sparklin 详细解决方案
splunk spl语法笔记
热度:5 发布时间:2023-12-16 01:39:15.0
相关解决方案
- Splunk SDK服务是否需要断开连接或关闭
- Splunk join 字段值区分大小写
- Splunk sort排序默认返回10000条数据
- Splunk alert中引用带有空格的字段名
- Splunk alert邮件附件pdf禁用chart图
- splunk alert email中引用查询结果中的字段
- Splunk alert email subject中引用查询结果中的多条数据的字段值
- Splunk chart图中定义线条颜色
- Splunk dashboard中头部加上一个超链接跳转到另一个dashboard
- Splunk 导出/导入app
- Splunk create app
- Splunk 中使用HEC监控数据
- The minimum free disk space (5000MB) reached for /tmp/splunk/var/run/splunk/dispatch
- Splunk dashboard中调整panel width size
- splunk spl语法笔记
- splunk java SDK使用注意事项
- splunk logo配置详解之web.conf
- splunk dashboard如何根据时间进行聚合并将前一聚合的count数累加
- Splunk DBConnect使用