• https://docs.splunk.com/Documentation/Splunk/9.1.2/SearchReference/Timechart

Search Appの視覚エフェクトにてグラフを表示する際、以下のような場合があります。

• 値が「NULL」であるものも結果の一つとして集計され表示される
• 表示する項目が多い場合、「OTHER」にまとめられ、表示される

上記のような場合、サーチクエリ内のtimechartコマンドに以下のようなオプションを利用する事で「NULL」の項目を非表示にし、かつ、「OTHER」に含まれてる全ての項目を凡例に表示することが可能です。

• usenull オプション
  サーチ結果の値が「NULL」になっている項目についてはグラフの表示から除外します。「NULL」の項目を非表示にする場合は usenull=false をサーチ文に利用します。
• useother オプション
  表示する項目が多い場合にまとめられた項目を「OTHER」として表示します。サーチ文に useother=false を利用した場合、まとめられた「OTHER」の項目は非表示となります。
• limit オプション
  グラフ上に表示される項目の数に制限を設けるオプションです。limit = N をサーチ文に含めることでグラフ上に N個の項目を表示する事が出来ます。サーチ結果に含まれる全項目のグラフに表示する場合、 limit = 0 をサーチ文に利用します。

上記オプションを利用し、サーチ文を実行した場合、以下のように「NULL」を非表示にしたうえで「OTHER」に丸められていた全ての項目をグラフ上に表示する事が可能となります。

【サーチ文 実行例】

<検索対象> | timechart span=1month sum(value) by extracted_host usenull=false useother=false

以上