24
4
I have following structure of data in Splunk. Each JSON block represents one splunk row or record
我在Splunk中有以下数据结构。每个JSON块代表一个Splunk行或记录
个人中心
文章发布
退出
{
"startTime": "2023-09-09T05:10:16.2360649Z",
"version": "1.0.0",
"duration": 64,
"status": "Allow",
"method": "POST",
"recordId": "PF6ZN3ALJS9S",
"setSpans": [0.31, 0.98, 0.9, 0.49, 1.02, 1.07, 0.41, 0.5, 1.01, 0.99, 0.49],
"getSpans": [0.48, 1.76, 0.41, 0.31, 0.41, 0.31, 0.43, 0.91, 0.32, 0.4, 0.9]
}
{
"startTime": "2023-09-09T05:10:16.6549716Z",
"version": "1.0.0",
"duration": 34,
"status": "OK",
"method": "GET",
"recordId": "CU5WJKHHAAKM",
"setSpans": [1.04],
"getSpans": [0.46, 1.03, 0.41, 0.97, 0.41, 0.34, 0.94, 0.4, 0.39, 0.95]
}
{
"startTime": "2023-09-09T05:10:17.6927429Z",
"version": "1.0.0",
"duration": 75,
"status": "Allow",
"method": "POST",
"recordId": "764YR7FK7EZQ",
"setSpans": [0.98, 0.9, 1.04, 1.01, 0.99, 1.01, 1.0, 1.02],
"getSpans": [1.11, 1.82, 0.41, 0.31, 1.08, 0.37, 1.02, 0.33, 1.13, 0.9, 1.0, 0.93, 0.34, 0.33, 0.99, 0.9]
}
There are two fields setSpans and getSpans which are in the form of array. They have double numbers in array.
有两个字段setSpans和getSpans,它们都是数组形式的。它们在数组中有两个数字。
I need to calculate of sum of items of these arrays individually. I need to have an additional fields created using eval or something for each record so that I can perform stats or timechart on them.
我需要单独计算这些数组的项的总和。我需要有一个额外的领域创建使用评估或为每个记录的东西,以便我可以执行他们的统计数据或时间表。
or may be a table something like following.
或者可能是下面这样的一张桌子。
recordId | totalSetSpan | totalGetSpan
-------------------------------------------
PF6ZN3ALJS9S | 7.68 | 5.74
-------------------------------------------
CU5WJKHHAAKM | 1.04 | 5.35
-------------------------------------------
764YR7FK7EZQ | 7.95 | 12.07
I need to be able to run query something like following.
我需要能够运行类似如下的查询。
... my search ... | ... eval or stats or something to get setSpanSum and getSpanSum... | timechart span=1m p99(setSpanSum)
I hope I am able to explain my issue properly. Any help or direction towards solving this will be a great help.
我希望我能够适当地解释我的问题。任何解决这个问题的帮助或方向都将是一个巨大的帮助。
Splunk can treat the JSON arrays as multi-value fields, but to add the contents of the multi-value fields you'll need the mvstats external command. Get from Splunkbase (https://splunkbase.splunk.com/app/5198) and install it. Then you can use this run-anywhere example as a guide.
Splunk可以将JSON数组视为多值字段,但是要添加多值字段的内容,您需要使用mvstats外部命令。从Sprint kbase(https://splunkbase.splunk.com/app/5198))获取并安装它。然后您可以使用这个随时随地运行的示例作为指南。
| makeresults format=json data="[ {
\"startTime\": \"2023-09-09T05:10:16.2360649Z\",
\"version\": \"1.0.0\",
\"duration\": 64,
\"status\": \"Allow\",
\"method\": \"POST\",
\"recordId\": \"PF6ZN3ALJS9S\",
\"setSpans\": [0.31, 0.98, 0.9, 0.49, 1.02, 1.07, 0.41, 0.5, 1.01, 0.99, 0.49],
\"getSpans\": [0.48, 1.76, 0.41, 0.31, 0.41, 0.31, 0.43, 0.91, 0.32, 0.4, 0.9]
},
{
\"startTime\": \"2023-09-09T05:10:16.6549716Z\",
\"version\": \"1.0.0\",
\"duration\": 34,
\"status\": \"OK\",
\"method\": \"GET\",
\"recordId\": \"CU5WJKHHAAKM\",
\"setSpans\": [1.04],
\"getSpans\": [0.46, 1.03, 0.41, 0.97, 0.41, 0.34, 0.94, 0.4, 0.39, 0.95]
},
{
\"startTime\": \"2023-09-09T05:10:17.6927429Z\",
\"version\": \"1.0.0\",
\"duration\": 75,
\"status\": \"Allow\",
\"method\": \"POST\",
\"recordId\": \"764YR7FK7EZQ\",
\"setSpans\": [0.98, 0.9, 1.04, 1.01, 0.99, 1.01, 1.0, 1.02],
\"getSpans\": [1.11, 1.82, 0.41, 0.31, 1.08, 0.37, 1.02, 0.33, 1.13, 0.9, 1.0, 0.93, 0.34, 0.33, 0.99, 0.9]
}]"
``` Above creates test data. Remove IRL ```
``` Convert the setSpans array into a Splunk multi-value field ```
| eval mvSetSpans=json_array_to_mv(setSpans, false())
``` Add the contents of the MV field ```
| mvstats sum mvSetSpans as totalSetSpan
``` Repeat for getSpans ```
| eval mvGetSpans=json_array_to_mv(getSpans, false())
| mvstats sum mvGetSpans as totalGetSpan
``` Display the results ```
| table recordId totalSetSpan totalGetSpan
0
猫f1.txt阿曼维沙尔阿杰贾伊维杰拉胡尔曼尼什肖比特批评塔夫林现在输出应该符合上面给定的条件 最佳答案 您可以在文件读取循环中设置一个计数器并打印它, 计数=0 读取行时做 让我们数一数++ if
我正在尝试查找文件 1 和文件 2 中的共同行。如果公共(public)行存在,我想写入文件 2 中的行,否则打印文件 1 中的非公共(public)行。fin1 和 fin2 是这里的文件句柄。它读
我有这个 SQL 脚本: CREATE TABLE `table_1` ( `IDTable_1` int(11) NOT NULL, PRIMARY KEY (`IDTable_1`) );
我有 512 行要插入到数据库中。我想知道提交多个插入内容是否比提交一个大插入内容有任何优势。例如 1x 512 行插入 -- INSERT INTO mydb.mytable (id, phonen
如何从用户中选择user_id,SUB(row, row - 1),其中user_id=@userid我的表用户,id 为 1、3、4、10、11、23...(不是++) --id---------u
我曾尝试四处寻找解决此问题的最佳方法,但我找不到此类问题的任何先前示例。 我正在构建一个基于超本地化的互联网购物中心,该区域分为大约 3000 个区域。每个区域包含大约 300 个项目。它们是相似的项
preg_match('|phpVersion = (.*)\n|',$wampConfFileContents,$result); $phpVersion = str_replace('"','',
我正在尝试创建一个正则表达式,使用“搜索并替换全部”删除 200 个 txt 文件的第一行和最后 10 行 我尝试 (\s*^(\h*\S.*)){10} 删除包含的前 10 行空白,但效果不佳。 最
下面的代码从数据库中获取我需要的信息,但没有打印出所有信息。首先,我知道它从表中获取了所有正确的信息,因为我已经在 sql Developer 中尝试过查询。 public static void m
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我试图在两个表中插入记录,但出现异常。您能帮我解决这个问题吗? 首先我尝试了下面的代码。 await _testRepository.InsertAsync(test); await _xyzRepo
这个基本的 bootstrap CSS 显示 1 行 4 列: Text Text Text
如果我想从表中检索前 10 行,我将使用以下代码: SELECT * FROM Persons LIMIT 10 我想知道的是如何检索前 10 个结果之后的 10 个结果。 如果我在下面执行这段代码,
今天我开始使用 JexcelApi 并遇到了这个:当您尝试从特定位置获取元素时,不是像您通常期望的那样使用sheet.getCell(row,col),而是使用sheet.getCell(col,ro
我正在尝试在我的网站上开发一个用户个人资料系统,其中包含用户之前发布的 3 个帖子。我可以让它选择前 3 条记录,但它只会显示其中一条。我是不是因为凌晨 2 点就想编码而变得愚蠢? query($q)
我在互联网上寻找答案,但找不到任何答案。 (我可能问错了?)我有一个看起来像这样的表: 我一直在使用查询: SELECT title, date, SUM(money) FROM payments W
我有以下查询,我想从数据库中获取 100 个项目,但 host_id 多次出现在 urls 表中,我想每个 host_id 从该表中最多获取 10 个唯一行。 select * from urls j
我的数据库表中有超过 500 行具有特定日期。 查询特定日期的行。 select * from msgtable where cdate='18/07/2012' 这将返回 500 行。 如何逐行查询
我想使用 sed 从某一行开始打印 n 行、跳过 n 行、打印 n 行等,直到文本文件结束。例如在第 4 行声明,打印 5-9,跳过 10-14,打印 15-19 等 来自文件 1 2 3 4 5 6
我目前正在执行验证过程来检查用户的旧密码,但问题是我无法理解为什么我的查询返回零行,而预期它有 1 行。另一件事是,即使我不将密码文本转换为 md5,哈希密码仍然得到正确的答案,但我不知道为什么会发生
我是一名优秀的程序员,十分优秀!