问题描述
使用一个简单的示例:计算每个主机名的事件数
... |时间表按主机计数
> ... | timechart count BY host
>
> This search produces this results table:
>
> _time host1 host2 host3
>
> 2018-07-05 1038 27 7
> 2018-07-06 4981 111 35
> 2018-07-07 5123 99 45
> 2018-07-08 5016 112 22
我想要添加一列以显示当天的总事件以及每个http状态代码的百分比。
我尝试过
... | timechart count BY host
| eval total= host1 + host2 + host3
| eval host1_percent = host1 / total
| eval host2_percent = host2 / total
| eval host3_percent = host3 / total
| table _time,host1_percent,host2_percent,host3_percent
这在大多数情况下都有效,但是我发现某天某主机是否处于脱机状态(特定主机没有记录),那么搜索不起作用(返回空白结果),我必须删除该主机“ total = host1 + host2 + host3”中的特定主机,以使其正常工作。
所以我的问题是:有没有一种方法可以获取每天(行)每天的记录总数,而不必将它们加在一起,例如用一个计数或总和替换“ total = host1 + host2 + host3”,我尝试了几件事,但没有一个起作用。
解决方法
了解到目前为止您已经尝试过的方法,这样我们就不会提出相同的建议。
您尝试过Obs column1 column2 column3
1 CC A_var1 .
2 HH A_var2 212
3 CC A_var3 .
4 CC B_var1 66
5 HH B_var2 545
6 CC B_var3 454
吗?
addtotals