Splunk/Splunk Search

[ Splunk Search : 사용 사례 ] 어제와 오늘 데이터 분 단위로 비교하기

안세현 2024. 4. 18. 13:23
728x90
반응형

 

index=os_window earliest=-24h@s latest=-h@s 
| bin span=10m _time 
| stats count as today_count by _time 
| append 
    [ | search index=os_window earliest=-48h@s latest=-24h@s 
    | bin span=10m _time 
    | stats count as yesterday_count by _time]
| eval time=strftime(_time, "%T")
| stats values(today_count) as today_count values(yesterday_count) as yesterday_count by time
| eval today_count=if(isnull(today_count), "0", today_count), yesterday_count=if(isnull(yesterday_count), "0", yesterday_count)

 

 

 

 

기본값을 영역형 차트로 주고

형식 > 차트오버레이 > 오버레이 (선으로 나타낼 컬럼 선택) 하면

아래와 같이 오늘은 걲은선 그래프로 어제는 영역형 차트로 그래프가 그려진다.

 

728x90
반응형