開始日と終了日を持つソースから、それぞれの日付の個数を積算で一つのグラフに重ねて以下の様なイメージで表示ができればと考えております。
ソースには、開始日、終了日やそのほかステータスが存在し開始日、終了日だけの曲線は以下のようなコマンドで表示ができました。
ですが、開始日と終了日両方を別々のフィールドにカウントし、どちらかが存在する日付で、積算で表示することができませんでした。
日にちは、ある一定の間の毎日でも構いません。
どうか、ご教授をお願いします。
|stats count by 開始日
|streamstats sum(count)
|table 開始日 sum(count)
サンプルログとして以下を利用してやってみました。
start=2015/12/09-15:31:11 end=2015/12/13-15:31:11 status=0
start=2015/12/10-15:31:11 end=2015/12/17-15:31:11 status=0
start=2015/12/11-15:31:11 end=2015/12/15-15:31:11 status=0
start=2015/12/12-15:31:11 end=2015/12/14-15:31:11 status=0
start=2015/12/13-15:31:11 end=2015/12/15-15:31:11 status=0
start=2015/12/14-15:31:11 end=2015/12/18-15:31:11 status=0
start=2015/12/15-15:31:11 end=2015/12/16-15:31:11 status=1
start=2015/12/16-15:31:11 end=2015/12/21-15:31:11 status=0
start=2015/12/17-15:31:11 end=2015/12/25-15:31:11 status=0
start=2015/12/18-15:31:11 end=2015/12/24-15:31:11 status=1
start=の部分の日付は、イベント(ログの各行)のタイムスタンプとして、認識されているので、そのままtimechart span=1d countをすれば1日ごとの集計は可能です。次に、endをタイムスタンプとして設定して、timechart span=1d count とすれば、endを元にした日付ごとの集計が可能です。それぞれの積算が必要なので、streamstats sum(count)で積算を出します。最後に、もう一回timechartで2つの結果を日付でひも付けますが、first()コマンドでその日の値を取得し、start/endとしてそれぞれ名前を振り直します。最後にstartの値がendの終了日まで存在しないので、startの最後の値をつかって、nullの部分を埋めます。
と書きましたが、以下がそのサーチと図です。サーチを分解して、append前と[]内をそれぞれ実行してみて、動きを確認いただければとおもいます。
source="*sample.log" sourcetype=test
| timechart span=1d count
| streamstats sum(count) as start
| fields - count
| append [ search source="*sample.log" sourcetype=test
| eval _time=strptime(end,"%Y/%m/%d-%H:%M:%S")
| timechart span=1d count
| streamstats sum(count) as end
| fields - count
] | timechart first(start) as start first(end) as end
| filldown start
もっと簡単で効率的な方法があるかもしれませんが、まずは一例として参考までにどうぞ。
サンプルログとして以下を利用してやってみました。
start=2015/12/09-15:31:11 end=2015/12/13-15:31:11 status=0
start=2015/12/10-15:31:11 end=2015/12/17-15:31:11 status=0
start=2015/12/11-15:31:11 end=2015/12/15-15:31:11 status=0
start=2015/12/12-15:31:11 end=2015/12/14-15:31:11 status=0
start=2015/12/13-15:31:11 end=2015/12/15-15:31:11 status=0
start=2015/12/14-15:31:11 end=2015/12/18-15:31:11 status=0
start=2015/12/15-15:31:11 end=2015/12/16-15:31:11 status=1
start=2015/12/16-15:31:11 end=2015/12/21-15:31:11 status=0
start=2015/12/17-15:31:11 end=2015/12/25-15:31:11 status=0
start=2015/12/18-15:31:11 end=2015/12/24-15:31:11 status=1
start=の部分の日付は、イベント(ログの各行)のタイムスタンプとして、認識されているので、そのままtimechart span=1d countをすれば1日ごとの集計は可能です。次に、endをタイムスタンプとして設定して、timechart span=1d count とすれば、endを元にした日付ごとの集計が可能です。それぞれの積算が必要なので、streamstats sum(count)で積算を出します。最後に、もう一回timechartで2つの結果を日付でひも付けますが、first()コマンドでその日の値を取得し、start/endとしてそれぞれ名前を振り直します。最後にstartの値がendの終了日まで存在しないので、startの最後の値をつかって、nullの部分を埋めます。
と書きましたが、以下がそのサーチと図です。サーチを分解して、append前と[]内をそれぞれ実行してみて、動きを確認いただければとおもいます。
source="*sample.log" sourcetype=test
| timechart span=1d count
| streamstats sum(count) as start
| fields - count
| append [ search source="*sample.log" sourcetype=test
| eval _time=strptime(end,"%Y/%m/%d-%H:%M:%S")
| timechart span=1d count
| streamstats sum(count) as end
| fields - count
] | timechart first(start) as start first(end) as end
| filldown start
もっと簡単で効率的な方法があるかもしれませんが、まずは一例として参考までにどうぞ。
