Création d'une table splunk avec les tendances

Question

Je voudrais créer une table comme les colonnes suivantes:

serveur

- nombre d'événements - Nombre d'événements dernière période

ce que je veux dire par là?

Je dois faire un compte par des événements, et c'est trivial.

base query | stats count as events by source 

maintenant j'ai un sélecteur qui me permet de sélectionner la période (le sélecteur de temps splunk classique).

ce que je dois est le suivant: si le sélecteur est « la semaine dernière » j'ai besoin de compter dans la première colonne les événements de la semaine dernière et dans la deuxième colonne les événements de la semaine avant que

si le sélecteur est « dernier montage » je dois compter dans la première colonne les événements de la dernière monture et dans la deuxième colonne les événements de la montagne avant que

etc ...

Id aiment faire cela sans jouer avec html, xml ou toute autre langue. Je voudrais, si possible, une recherche de splunk simple.

Merci beaucoup.

Andrea

Answer 1

Ceci est une solution partielle, car les variables implique de changer pour changer l'intervalle de temps.

BASE SEARCH earliest=-14d latest=now 
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week") 
| stats count as events by source when 
| chart sum(events) by source, when 
| eval perc = (Current_Week-Prev_Week)/Prev_Week 
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3), "madium", perc > 0.3, "high") 
| table source, Current_Week, Prev_Week, perc, trend