Привет. Есть данные из запроса ниже .. (index = abc OR index = def) | rex field = index (? ‹Local_Market› [^ cita] \ w. *?) _ | количество графиков по заблокированным, Local_Market
заблокированный даб рат мил 0 10 20 21 1 02 03 09 2 9 2 1
Теперь мне нужны данные, как показано ниже
общее количество заблокированных (сумма 0 и сумма 2) dub rat mil Всего найдено (сумма 1) (10 + 20 + 21 + 9 + 2 + 1) = 63 10 20 21 (02 + 03 + 09) = 14
Вопрос можно было бы лучше отформатировать, но я думаю, что вам нужна команда addcoltotals.
Этот пример, который можно запускать где угодно, уродлив, но я считаю, что он дает желаемые результаты.
| makeresults
| eval _raw="blocked dub rat mil
0 10 20 21
1 02 03 09
2 9 2 1"
| multikv forceheader=1
| fields - _time _raw linecount
```Skip the above - it just creates test data```
```Compute the total_bolocked field for blocked=0 and blocked=2```
| eval total_bolocked=if(blocked!=1,dub+mil+rat,0)
```Compute the total_found field for blocked=1```
| eval total_found=if(blocked=1, dub+mil+rat,0)
```Add up the total_bolocked fields. This will include blocked=1, but we'll fix that below```
| eventstats sum(total_bolocked) as total_bolocked
```Set total_bolocked=0 if blocked is 1```
| eval total_bolocked=if(blocked=1,0, total_bolocked)
indexимена не начинаются с этого регулярного выражения, вы не получите никаких данных - person warren schedule 18.03.2021