Time 在splunk中创建带有趋势的表_Time_Splunk

Time 在splunk中创建带有趋势的表

time

Time 在splunk中创建带有趋势的表,time,splunk,Time,Splunk,我想创建一个如下列所示的表：服务器-事件计数-上次期间的事件计数我这是什么意思我必须对事件进行计数，这是微不足道的 base query | stats count as events by source 现在我有了一个选择器，可以选择时段（经典的splunk时间选择器）我需要的是：如果选择器为“last week”，我需要在第一列中计算上周的事件，在第二列中计算前一周的事件如果选择器是“last mount”，我需要在第一列中计算最后一次装载的事件，在第二列中计算在此之前装载的

我想创建一个如下列所示的表：

服务器-事件计数-上次期间的事件计数

我这是什么意思

我必须对事件进行计数，这是微不足道的

base query | stats count as events by source

现在我有了一个选择器，可以选择时段（经典的splunk时间选择器）

我需要的是：如果选择器为“last week”，我需要在第一列中计算上周的事件，在第二列中计算前一周的事件

如果选择器是“last mount”，我需要在第一列中计算最后一次装载的事件，在第二列中计算在此之前装载的事件

等等

我想这样做，而不与html，xml或任何其他语言的混乱。如果可能的话，我想要一个简单的搜索

非常感谢

Andrea

这是一个局部解决方案，因为它涉及改变变量以改变时间跨度

BASE SEARCH earliest=-14d latest=now 
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week") 
| stats count as events by  source when 
| chart sum(events) by source, when 
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3 ), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend

BASE SEARCH earlime=-14d latest=now
|eval when=if（_time>relative_time（now（），）-7d@d“本周”、“上周”）
|统计数据在以下情况下按源计为事件：
|按来源列出的图表总和（事件），当
|评估perc=（当前周-上一周）/上一周
|评估趋势=案例（perc<-0.3，“低”和（perc>=-0.3和perc 0.3，“高”）
|表来源、当前周、上一周、perc、趋势