今天碰到一个case,就是Splunk 一个index 的数据会进入另外一个index, 最后要算进入的比例,还要把相关的属性给同步列出来:
如下图:
上面数据B 原来在index=A 上面,这些数据B 的host 还要进入index=C, 下面要计算进入index=C 的数据B 的host 在index=A 中的比例。下面一步步算:
1: B 的数据量 和具体值。
2: A中除了B以外,还要多少剩下的没有进入C 的,也要列出来。
3: 进入C 的数据B ,在总的A 的比例是多少。
下面看实验:
1: 1: B 的数据量 和具体值:
思想:想建立一个共同的参数: host_name
如果数据在A 中 ,也同时在C中:name_AAA_host_count=1 and CCC_host_count=1
(index=index_A) OR (index=index_C)
| eval name_A=if(index="index_A",name,null)
| eval host_C=if(index="index_C",host,null)
| rex field=name_A "
![【Elasticsearch】es 报错 no such index index_not_found_exception1.场景1[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)