我试图在搜索匹配中添加两个不同的表达式在下面的查询使用时间图,但它给我的错误。谁能帮我解决这个问题?
这就像count2应该增加如果表达式中的任何一个,即Expr2或Expr3。
count1是正确的,而count2给出错误的问题
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2" OR "Expr3"))) as "count2"
searchmatch函数接受单个字符串(可能包含模式)作为其参数,而不是布尔表达式。尝试使用两个searchmatch呼叫
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2") OR searchmatch("Expr3"))) as "count2"
timechart呼叫中只能有一个聚合函数
您正在尝试执行两个count函数
timechart将只做一个