У меня есть поле с LogMsg сообщениями об ошибках, которые я группирую на основе сходства с помощью cluster.
Я пытаюсь добиться отображения, на котором будут отображаться временные ряды с сгруппированной ошибкой.
index="my_index_here" LogLevel=ERROR
| cluster showcount=t t=0.2 field=Message | eval "Error Count" = cluster_count
| head 10 | timechart count("Error Count") By LogMsg span=60m
Идея такая
- Получить все сообщения об ошибках
LogLevel=ERROR - Сгруппируйте элементы на основе поля сообщения
| cluster showcount=t t=0.2 field=Message | eval "Error Count" = cluster_count - Получите 10 лучших результатов
| head 10 - Нарисуйте временную диаграмму
timechart count("Error Count") By LogMsg span=60m. Временная диаграмма должна иметь график количества различных сообщений об ошибках, сгенерированных кластером, в зависимости от времени, что-то вроде
| Message | 8.00 | 9:00 | 10.00 | 11:00 |
|---|---|---|---|---|
| Unable to authenticate | 90 | 40 | 30 | 60 |
| Another Error | 80 | 40 | 30 | 60 |
| Yet another error | 70 | 40 | 30 | 60 |
| --- | --- | --- | --- | --- |
| The 10th most frequent error | 50 | 40 | 30 | 60 |
Мой подход выше не работает, возвращая пустой график,
