我正在构建一个使用基本查询的仪表板,然后几个面板使用该查询显示一些数据。我的一些面板没有显示任何(No Result Found)。所有不显示任何数据的面板都使用stats功能。这是我的仪表板代码-
<label>ZZ_Test</label>
<description>Test Playground</description>
<search id="mainData">
<query>
index="mydata"| eventstats max(_time) as maxTimestamp| where _time=maxTimestamp| search businessGroup IN ("*")
</query>
<earliest>$timeToken.earliest$</earliest>
<latest>$timeToken.latest$</latest>
</search>
<fieldset submitButton="false">
<input type="time" token="timeToken">
<label>timeToken</label>
<default>
<earliest>-24h@h</earliest>
<latest>now</latest>
</default>
</input>
</fieldset>
<row>
<panel>
<single>
<title>Total1</title>
<search base="mainData">
<query>stats sum("objects{}.count") as "Total"</query>
</search>
<option name="drilldown">none</option>
<option name="refresh.display">progressbar</option>
</single>
<single>
<title>Total2</title>
<search base="mainData">
<query>spath path="objects{}.count" output="Total"</query>
</search>
<option name="drilldown">none</option>
<option name="refresh.display">progressbar</option>
</single>
</panel>
</row>
</form>
下面是几个示例事件-
[{
"businessGroup": "Sample1",
"objects": [
{
"count": 5
}
]
},
{
"businessGroup": "Sample2",
"objects": [
{
"count": 54
}
]
}
]
当我查看这个仪表板时,我看到Total2填充,但Total1显示没有发现结果。
我错过了什么?
我怀疑stats命令不喜欢对象格式的字段名。试着先把它们重命名为更简单的名字。
<query>| rename "objects{}.count" as count | stats sum(count) as "Total"</query>
[编辑]第二个建议。"Total1"与panel "Total2"不同,panel不包含spath命令。如果没有spath,该字段可能不存在。