Splunk - Sparklines

Sparkline 是一些统计信息的小型表示，不显示轴。它通常显示为带有凸起的线，仅用于指示特定数量在一段时间内的变化情况。Splunk 具有内置函数，可以根据其搜索的事件创建 Sparklines。它是图表创建功能的一部分。

选择字段

我们需要选择将用于创建 Sparklines 的字段和搜索公式。下图显示了 web_application 主机中某些文件的平均字节大小值。

要根据上述统计数据创建 Sparklines，我们将 Sparkline 函数添加到搜索查询中，如下图所示。上述统计数据的表格视图现在开始显示这些文件的平均字节大小的迷你图。在这里，我们将所有时间作为计算文件平均字节大小变化的时间段。如果我们更改此时间段，则图表的性质将发生变化。

如果我们将上述图表的时间段从所有时间更改为过去 30 天，我们将看到迷你图略有不同，如下所示。这里我们需要注意，有多少文件名从列表中消失，因为这些文件在该时间段内不可用。