Splunk-запрос для разделения сумм записей за период времени

Question

У меня в журналах Splunk есть сообщения в следующем формате:

Идентификатор продукта LogService =1 цена =10,00 numberOfClients=4 прибыль =5,00

Мне нужно создать запрос, который найдет все записи за последний день и вычислит:

сумма (цена * количество клиентов)/ сумма (прибыль),

и вызовет оповещения, если результат не находится в пределах [0,2, 0,8], где сумма - это сумма значений для всех зарегистрированных сообщений.

Я пробовал несколько способов сделать это, но это не сработало. Пожалуйста, порекомендуйте.

splunk splunk-query splunk-formula splunk-calculation splunk-sum

Источник

user998692 20 янв '17 в 22:01

1 ответ

Решение

Другие вопросы по тегам splunk splunk-query splunk-formula splunk-calculation splunk-sum

user7443044 21 янв '17 в 09:32 2017-01-21 09:32 · Accepted Answer · 2017-01-21 09:32

Следующий поиск создаст расчет и вернет результат, только если результат был ниже 0,2 или выше 0,8

index=... 
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8

Источник

user7443044 21 янв '17 в 09:32