Splunk запрос для разделения сумм записей в сроки

Question

Я имею в Splunk регистрирует сообщения следующего формата:

LogService продукт ID = 1 цена = 10.00 numberOfClients = 4 прибыль = 5,00

I необходимо создать запрос, который найдет все записи из последнего дня и просчитывает:

сумма (цена * numberOfClients)/сумма (прибыль),

и оповещений, если результат не находится в пределах [ 0,2, 0,8], где сумма представляет собой сумму значения s для всех зарегистрированных сообщений.

Я пробовал несколько способов сделать это, но это не сработало. Пожалуйста, порекомендуйте.

Answer 1

Следующая поиск будет создавать расчет и вернуть результат, только если результат был ниже 0,2 или выше 0,8

index=... 
|stats sum(price * numberOfClients) as A sum(profit) as B 
|eval C=A/B 
|where C<0.2 OR C>0.8