如果有人已经问过这个问题,请原谅我,但由于我还没有找到满意的答案,所以发布这个问题。
我是 Splunk 的初学者。只是想知道我正在尝试做的事情是否可行。
我正在尝试制作一个具有 3 个面板的 Splunk 仪表板。我想将一个面板的结果传递给另一个,它可以在查询中使用。 简单地说,我想找到一个事件的计数:首先从一年(span = 1mon)开始每月明智。然后选择计数最高的月份并找到该月的计数日(跨度 = 1d)。从这个月开始,我想选择计数最高的一天,然后找到事件计数最高的小时(跨度 = 1h)。 现在我正在手动完成整个过程。
是否可以使用可以自动选择最大月、日和小时的仪表板自动执行此过程?
我尝试使用嵌套查询,但没有取得任何重大进展。
【问题讨论】:
标签: splunk splunk-query
如果要将值从一个面板传递到另一个面板,则需要定义一个标记并将第一个面板的搜索结果设置为该标记。然后在第二个面板中使用该令牌。请参阅https://docs.splunk.com/Documentation/Splunk/7.2.0/Viz/ContextualDrilldown。他们有很好的例子。以下是一个
<dashboard>
<row>
<panel>
<table>
<title>Event counts by sourcetype</title>
<search>
<query>index=_internal | stats count by sourcetype</query>
</search>
<drilldown>
<set token="show_panel">true</set>
<set token="selected_value">$click.value$</set>
</drilldown>
</table>
</panel>
<panel depends="$show_panel$">
<event>
<title>Recent events for $selected_value$</title>
<search>
<query>index=_internal sourcetype=$selected_value$ </query>
<earliest>$earliest$</earliest>
<latest>$latest$</latest>
</search>
<option name="count">5</option>
</event>
</panel>
</row>
</dashboard>
但是,最好使用查询来解决您的问题。为了进一步提供帮助,您可以发布您尝试过的嵌套查询吗?
【讨论】: