У меня есть два отдельных Splunk запросов: первый запрос: Выходы количество уникальных пользователей в последние 24 часа второго запроса: подсчет Выходы уникальных пользователей за последние 24 часа в гео = USпоказывают результаты двух Splunk запросов в один
Я хочу создать временную диаграмму, которая покажет линейную диаграмму, в которой каждый пользователь из США будет ежедневно посещать% пользователей.
Как это можно достичь.
Вы можете присоединиться два запроса с помощью:
|
Таким образом, ваш запрос может выглядеть следующим образом:
{firstQuery} as countUS| {secondQuery} as countTotal | eval perc=countUS/countTotal
Вы можете использовать условное сосчитать те из США
Пример запроса:
index=data | timechart dc(user) as dc_user, dc(eval(if(geo=US,user,NULL))) as us_user | eval perc_us=round(us_user/dc_user*100,2) | table _time, perc_us
В качестве альтернативы вы можете использовать команду соединения SPL, но это будет менее эффективно, так как потребуется дважды прочитать данные и присоединиться к результатам.
Можете ли вы анонимно ваши данные и показывать запрос здесь? В Splunk есть много способов сделать это, но нам нужно немного больше, чтобы продолжить.
, например
Query: index=myindex sourcetype=mySourcetype | stats count dc(ip) as userTotal | append [ index=myindex sourcetype=mySourcetype region=US | stats dc(ip) as USTotal]