【发布时间】:2021-08-06 08:23:47
【问题描述】:
我正在使用 API 消耗一些数据,我想计算所有客户花费的平均时间,在每次提取(特定客户消耗的数据)之后,我为该客户打印一个时间矩阵。
timechart span=24h avg(total_time)
现在要计算平均值,我不能简单地提取时间字段并执行 avg(total_time),因为如果客户 A 在 1 小时内完成摄取,而客户 B 需要 24 小时,那么客户 A 将被记录 24 次,B 将被记录一次,给我不准确的结果并降低平均值。
如何创建过滤器,假设持续时间为 7 天,因此我只获取特定客户的日志行,该客户在 7 天的时间段内总时间最长。即每个客户一个日志行,该特定客户在 7 天内的最大 total_time 时间。
【问题讨论】:
-
| bin_time span=24h | stats max(total_time) as max_time by _time customer | timechart span=24h avg(max_time) as average 这就是以防万一有人需要的解决方案
标签: splunk splunk-query splunk-formula splunk-calculation splunk-dashboard