>我在Splunk日志中具有以下格式的消息:
日志服务产品 ID =1 价格=10.00 客户数量=4 利润=5.00
我需要创建一个查询,该查询将查找最后一天的所有记录并计算:
总和(价格 * 客户数量)/总和(利润),
如果结果不在 [0.2, 0.8] 范围内,将触发警报,其中 sum 是所有记录消息的值的总和。
我已经尝试了几种方法,但没有奏效。请指教。
以下搜索将创建计算,并且仅当结果低于 0.2 或高于 0.8 时才返回结果
index=...
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8