[解決済み] Splunkです。複数のイベントから統計情報を取得し、1つの結合された出力を期待する

質問

以下のようなイベントがあります。

event_a には time_a と MAS_A フィールド

event_b は time_b と MAS_B フィールド

event_c は time_c と MAS_C フィールド

sourcetype="app" eventtype in (event_a,event_b,event_c) 
| stats avg(time_a) as "Avg Response Time" BY MAS_A 
| eval Avg Response Time=round('Avg Response Time',2) 

上記の検索で得られる出力は、2つのフィールドです。 MAS_A と Avg Response Time

に対して取得しようとしています。 event_b と event_c を同じように検索し、最終的に2つのフィールドのみを含む出力を期待します。 MAS_A_B_C と Avg Response Time

解決方法は？

これはあなたが求めているものですか？いくつかのサンプルイベントは、あなたのクエリに役立つかもしれません。

sourcetype="app" eventtype in (event_a,event_b,event_c) 
| eval time_value=coalesce(time_a, time_b, time_c)
| eval MAS_value =coalesce(MAS_A,MAS_B,MAS_C)
| stats avg(time_value) as "Avg Response Time" BY MAS_value 
| eval Avg Response Time=round('Avg Response Time',2)