使用具有特定消息大小的记录百分比在Splunk中创建饼图

Question

我希望创建一个饼图，显示在一个消息字节范围内接收到的消息的百分比。

考虑到splunk中的每个记录都有一个message_bytes属性，该属性是消息的大小(以字节为单位)，我希望找到跨越一兆字节的消息的百分比。

也就是说，如果我有100条信息：

• 其中20个在0- 1024*1024*1024 (0-1MB)之间。
• 其中30台在2-3MB之间。
• 其中50件在6-7兆之间

我想输出一个饼图，它相应地显示20%，30%和50%。

我目前的搜索是：

group="SOURCE" | eval size=message_bytes | bucket message_bytes span={some_span_size} | stats count(size) by message_bytes

但是我的结果看起来是无效的

Answer 1

试一试这个

group="SOURCE" 
| eval MB = messages_bytes/(1024*1024)
| eval size_bucket = case(MB<=1,"small",
                          MB>=2 and MB<=3,"medium",
                          MB>=6 and MB<=7,"large"
                          1==1,"Other")
| stats count by MB

但我怀疑这不是你想要的。尝尝这个

group="SOURCE" 
| eval MB = round(messages_bytes/(1024*1024),2)
| eval pie_group = ceiling(MB/2)
| stats count min(MB) as minMB max(MB) as maxMB by pie_group
| eval pie_group=tostring(minMB) + " to " + tostring(maxMB)
| table pie_group count

您可以根据需要更改pie_group计算。