Splunk 查询减去时间
Splunk query substract time
我有一个这样的 Splunk 搜索查询:
...earlier query.....
| eval sTime=mvindex(sTime,1), eTime=mvindex(eTime,1),
TotalTime = strptime(sTime, "%Y-%m-%dT%H:%M:%S%z") - strptime(eTime, "%Y-%m-%dT%H:%M:%S%z")
| table sTime eTime TotalTime
我的日志中有这样的开始和 ebdtime:
s时间:2018-03-14T19:18:10.851
eTime:2018-03-14T19:19:20.667
我得到 Totaltime 是空的,即没有值。这个查询有什么问题?
在此处关注 Splunk 论坛:Link.
您的查询有两个问题。
- 您应该从 eTime 中减去 sTime(IOW,eTime 应该是第一个)。
- 您日志中的时间格式与
strptime 调用中的格式不匹配。试试 strptime(sTime, "%Y-%m-%dT%H:%M:%S.%3N").
我有一个这样的 Splunk 搜索查询:
...earlier query.....
| eval sTime=mvindex(sTime,1), eTime=mvindex(eTime,1),
TotalTime = strptime(sTime, "%Y-%m-%dT%H:%M:%S%z") - strptime(eTime, "%Y-%m-%dT%H:%M:%S%z")
| table sTime eTime TotalTime
我的日志中有这样的开始和 ebdtime:
s时间:2018-03-14T19:18:10.851
eTime:2018-03-14T19:19:20.667
我得到 Totaltime 是空的,即没有值。这个查询有什么问题? 在此处关注 Splunk 论坛:Link.
您的查询有两个问题。
- 您应该从 eTime 中减去 sTime(IOW,eTime 应该是第一个)。
- 您日志中的时间格式与
strptime调用中的格式不匹配。试试strptime(sTime, "%Y-%m-%dT%H:%M:%S.%3N").