Настроить оповещение Splunk на основе среднего значения поля

Я новичок в Splunk, так что извините, если мой вопрос слишком наивен. Я хочу настроить оповещение Splunk, если среднее значение поля превышает пороговое значение. Мой поиск выглядит следующим образом:

sourcetype="somesourcetype" search phase | stats avg(f1) as Average

Если я использую

sourcetype="somesourcetype" search phase | timechart avg(f1) as Average span=1h

Я вижу таблицу со средним значением поля f1. Но с stats avg(f1) я ничего не вижу в панели статистики, и я не уверен, как настроить оповещение, если среднее значение f1 превышает 100 мс.


splunk splunk-query
person fhcat    schedule 11.04.2018    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Чтобы активировать оповещение при определенном пороге, включите порог в свой запрос, а затем включите оповещение, если количество результатов не равно нулю.

sourcetype="somesourcetype" search phase | stats avg(f1) as Average | where Average > 100
person RichG    schedule 12.04.2018
comment
Спасибо. Думаю, проблема в том, что это поле содержит числовое значение и мс. Похоже, что в одном случае у меня f1 = 50 мс, а в другом - f1 = 120 мс. Как мне изменить запрос, чтобы удалить эту миллисекунду при вычислении среднего значения? - person fhcat; 12.04.2018
comment
Есть несколько способов сделать это, но, пожалуй, самый простой - convert. Попробуйте ... | convert num(f1) | stats .... - person RichG; 13.04.2018