假设在Splunk上,我有一个包含字段"month"、"year"one_answers"count"的表。我想要与每年的最大计数相对应的月份。因此,生成的表格每年应该只有一个月。
我试过使用stats和chartmax函数,但我不知道如何使用它们来获得我想要的东西,或者这是否可能。
使用Splunk有什么方法可以做到这一点吗?
我最终使用了streamstats命令。
给定一个包含字段month、year和count的表,
<some search>
| streamstats max(count) as mc by year
| sort +year, -count
| streamstats first(mc) as mc
| where count = mc
本质上,我在每个year中的每个month上使用streamstats到max,将每个条目的运行最大值存储为一个新列。然后,我对它进行排序,使最大的最大计数位于每个年份组的顶部,这样我就可以选择第一个作为最大条目。
我也有同样的要求。我有字段为"加载时间"、"应用程序"one_answers"用户名"的日志数据。首先,我想计算所有应用程序的加载时间的最大值。然后,创建一个表/图表,其中应该为每个具有应用程序名称和最长加载时间的应用程序包含一行。表还应具有为每个应用程序计算的最大加载时间的用户字段值。下面是我用来实现上面的splink查询:
search_string|streamstats max(loadtime) as max_time by application|sort +application -loadTime|streamstats first(max_time) as max_time by application|where loadtime=max_time|table application,max_time,username