使用追加的 Splunk 查询

Question

我有一个查询，它计算来自不同时间段的批处理日志，并在第一个时间段使用附加 command.But 显示输出我得到一个批处理日志，但在相同的第二个时间段中不存在询问。在追加后的查询输出中，我没有得到仅出现在时隙中的日志。

查询使用

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d 在上面的查询中，我在输出中得到了 MSR1451 批次。

index=main sourcetype=xml "MSR*" earliest=-14d latest=now() 在上面的查询中，我们没有得到那个 MSR1451 批次。

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |字段 jobName |评估标记="Before 15 days" |追加 [search index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName |评估标记="After 15 days"] | stats count (eval(marker="Before 15 days")) AS 在 15 天之前，count (eval(marker="After 15 days")) AS 在 15 天之后 by JobName

在上面的查询中，我只得到了出现在两个时间段中的常见作业。我需要只出现在一个时间段的职位也应该列出。

Answer 1

您是否打算在主搜索和子搜索中使用 earliest=-30d 和 latest=-15d？

在您发布的查询中，您在两个搜索中对最早和最新使用了相同的值。你需要做的：

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="Before 15 days" | append [search index=main sourcetype=xml "MSR*" earliest=-15d latest=now() |fields jobName | eval marker="After 15 days"] | stats count (eval(marker="Before 15 days")) AS Before 15 days, count (eval(marker="After 15 days")) AS After 15 days by JobName