Timechart using Subsearch to set Span
で答えたことのまとめ
小ネタすぎる
結果
subsearch_text.spl
| tstats count where index=_internal earliest=1 by _time [| makeresults | eval query="span=2h" | return $query]
🐨コアラでもわかるSplunkシリーズ サブサーチとは何かを調べるでいろいろ調べたとおり、サブサーチの結果はテキストでメインサーチに戻せる。
今回はreturnを使用して文字列をそのまま渡してあげている。
Splunk Answers質問の答えは
timechat_span.spl
| tstats sum(PREFIX("kb=")) as total_kv where index=_internal source="*metrics.log" by _time
[| makeresults
| addinfo
| eval span=case(info_max_time - info_min_time <=3600,"1m"
,info_max_time - info_min_time<=14400,"15m"
,info_max_time - info_min_time<=86400,"30m"
,info_max_time - info_min_time<=2592000,"1d"
,info_max_time - info_min_time>2592000,"1mon")
| eval query="span=".span
| return $query]
検索期間を変えると、それによりspan=の値が変化してくれる。
なんか、いろいろと使えそうな気がする。