ソースタイプ別に取り込まれているデータの容量を1日毎や1時間毎などで表示したいのですが、 SplunkのSearch画面から可能ですか?
以下の様な感じではいかがでしょうか。
index=_internal sourcetype="splunkd" group="per_sourcetype_thruput" series!=splunk* | eval gb=kb/1024/1024 | timechart limit=20 minspan=1d sum(gb) by series
View solution in original post
