Splunkで直近の繰り上げ時間を作る

3078 ワード

小ネタ
Slackで投稿したので忘れないうちに

move_up_time.spl

index=_internal | head 100
| stats min(_time) as start max(_time) as end
| appendpipe [ eval time=relative_time(end,"+1h@h")]
| eval _time=coalesce(time,start)
| makecontinuous _time span=1h

start	end	_time	count	time
		2020/07/23 20:00:00.000
1595503130.524	1595503142.065	2020/07/23 20:18:50.523	1
1595503130.524	1595503142.065	2020/07/23 21:00:00.000	2	1595505600.000000

binやmakecontinuousは直近の時間は作ってくれる。この場合はcountがnullのところ。
だけど、繰り上がった時間は作ってくれない。

addinfoが使えるかなと思ったけど、検索期間が全時間だとinfo_min_timeが0でinfo_max_timeが+infinityだった

appendpipeは直前の結果から、引き続きクエリーを追加できるので、この場合は使い勝手がよかった。

ステータスの変化をtimechartするときなどは使うかもしれません。

Author And Source

この問題について(Splunkで直近の繰り上げ時間を作る), 我々は、より多くの情報をここで見つけました https://qiita.com/toshikawa/items/76348c714a82516ee800

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .