Hi,
I have this log with the following structure.
12/06/2018 08.00:58.330 [[ACTIVE] Executetheread: '4' for queue. processENSESION
num de inst participantes ---> 25
fecha de operacion ---> 20180612
claves ---> 301,800,390,831,9,28,289,948,984,829,
nombre ---> prueba01,prueba02, prueba03, prueba04,prueba05,prueba06,prueba07,prueba08,prueba09,prueba10
estado ---> R,R,R,R,R,R,R,R,N,R
12/06/2018 08.00:47.330 [[ACTIVE] Executetheread: '4' for queue. processENSESION
num de inst participantes ---> 25
fecha de operacion ---> 20180612
claves ---> 301,800,390,831,9,28,289,948,984,829,
nombre ---> prueba01,prueba02, prueba03, prueba04,prueba05,prueba06,prueba07,prueba08,prueba09,prueba10
estado ---> R,R,R,R,R,R,R,R,R,R
I need create a dashboard with the following design
Filter and count by estado R or N but only the last event:
Andd when you click on the panel display a table with only the data (claves, nombre, estado) according to the previous filter.
Example:
I have the following query with splunk
index=open source=appskp
| head 1
| mvexpand claves
| mvexpand nombre
| mvexpand estado
| makemv delim="," claves
| makemv delim="," nombre
| makemv delim="," estado
| table claves nombre estado
| eval filter=mvfilter(estado="R")
| table claves nombre estado
Regards.
... View more