【发布时间】:2021-09-28 17:52:40
【问题描述】:
我已经在 Splunk 中创建了报告:“splunk_report”。 我想在 Splunk 仪表板中使用它。
我已经添加了新面板 -> 来自报告的新面板,但现在它向我显示了一个表格(正如它在保存的报告中定义的那样) 我想获取此表中的总行数。可以统计当前报告吗? 例如。 “splunk_report” |统计计数(系统)
我不想复制整个搜索查询,因为将来报告中的搜索更改时,我必须在两个地方进行更改。
【问题讨论】:
【发布时间】:2021-09-28 17:52:40
【问题描述】:
除非您将报告添加为内联搜索(或报告通过 outputlookup 生成查找),否则您所描述的内容是不可能的。
如果您将其添加为内联搜索,您将回到最初的问题,即每次内联搜索都需要更新它,以及原始报告
不过,我经常使用预定报告来创建查找表(出于性能原因)。如果您这样做那个,那么您可以只引用仪表板上的查找表,然后像任何其他查找表一样使用它做任何您想做的事情:
| inputlookup mylookup.csv
| stats count
或者
| inputlookup mylookup.csv
| stats count by system
等等
如果您想将汇总数据添加到仪表板上的统计表中,请格式化可视化并添加总计:
【讨论】:
我找到了另一个解决方案:创建已保存的搜索并参考现有报告:
<search id="save_search" ref="splunk_report">
并在第二个保存的搜索中添加基本搜索:
<search id="save_search2" base="save_search">
<query>| stats count(system)</query>
【讨论】: