我是splunk的新手,需要一些帮助。我需要创建一个仪表板,以便根据选择向下钻取和向上钻取。例如,我有一个公司的组织信息以及他们的 kpi 分数。 如果我必须根据选择向下钻取/向上钻取,我该怎么做? 以下是示例数据供您参考。
用户 ID KPI 分数Manager_id Org_structure
abcd12 4 经理1 abcd12/经理1/总监1/VP1/首席信息官 abcd34 3 经理1 abcd34/经理1/总监1/VP1/首席信息官 abcd56 9 经理1 abcd56/经理1/总监1/VP1/首席信息官 abcd78 10 经理1 abcd78/经理1/总监1/VP1/首席信息官 abcd90 8 经理1 abcd90/经理1/总监1/VP1/首席信息官 用户001 7 经理2用户001/经理2/董事1/VP1/首席信息官
user002 8 经理2 user002/manager2/director1/VP1/CIO user003 6 manager2 user003/manager2/Director1/VP1/CIO
经理 1 KPI 将是其所有报告对象的平均值,依此类推。 总监1 KPI将是其所有直接报告人及其报告对象的平均值。(在本例中,经理 1 和经理 2 KPI 的平均值(。 有人可以分享我们如何做到这一点吗?
我希望经理 1 KPI 的输出后跟其他信息。如果我向上钻取,它应该计算所有。知道我们如何实现这一目标吗?
"钻取"是什么意思? Splunk没有这样的概念。
我可能会通过将Org_structure字段拆分为组件并让用户选择要用于分组的组件来解决此问题。 在此示例中,$component$是用户选择的令牌(可能从下拉列表中选择(,包含"用户"、"经理"、"主管"、"副总裁"或"CIO"之一。
... | eval components=split(Org_structure, "/")
| eval user=mvindex(components, 0), manager=mvindex(components, 1), director=mvindex(Org_structure, 2), vp=mvindex(components, 3), cio=mvindex(components, 4)
| stats avg(KPIScore) as KPIScore by $component$