timechart 正在创建不属于 splunk 搜索的统计数据
timechart is crating stats which are not part of the search in splunk
我正在使用以下查询从产品系统中提取一些用于 PE 测试的卷数据
我希望获得从上午 9 点到下午 6 点之间与代理名称相关的事件计数的统计信息。但是按照代码创建一整天的统计信息,请帮我删除这些额外的数据。
查询
index= index_Name environmentName= Env_name clientAppName="App_Name"
| eval eventHour=strftime(_time,"%H")
| where eventHour<18 AND eventHour>=9
| timechart count span=60m by proxyName
结果:
TIme
Proxy1
proxy2
2022-02-16 06:00
0
0
2022-02-16 07:00
0
0
2022-02-16 08:00
0
0
2022-02-16 09:00
27
34
缩短时间 window 的最佳方法是在搜索命令中使用 earliest
和 latest
选项。
要查找今天上午 9 点到下午 6 点之间的事件:
index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=@d+9h latest=@d+18h
| timechart count span=60m by proxyName
要查找昨天上午 9 点到下午 6 点之间的事件:
index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=-1d@d+9h latest=-1d@d+18h
| timechart count span=60m by proxyName
@d+9h
构造表示转到一天的开始并增加 9 小时。
我正在使用以下查询从产品系统中提取一些用于 PE 测试的卷数据
我希望获得从上午 9 点到下午 6 点之间与代理名称相关的事件计数的统计信息。但是按照代码创建一整天的统计信息,请帮我删除这些额外的数据。
查询
index= index_Name environmentName= Env_name clientAppName="App_Name"
| eval eventHour=strftime(_time,"%H")
| where eventHour<18 AND eventHour>=9
| timechart count span=60m by proxyName
结果:
TIme | Proxy1 | proxy2 |
---|---|---|
2022-02-16 06:00 | 0 | 0 |
2022-02-16 07:00 | 0 | 0 |
2022-02-16 08:00 | 0 | 0 |
2022-02-16 09:00 | 27 | 34 |
缩短时间 window 的最佳方法是在搜索命令中使用 earliest
和 latest
选项。
要查找今天上午 9 点到下午 6 点之间的事件:
index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=@d+9h latest=@d+18h
| timechart count span=60m by proxyName
要查找昨天上午 9 点到下午 6 点之间的事件:
index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=-1d@d+9h latest=-1d@d+18h
| timechart count span=60m by proxyName
@d+9h
构造表示转到一天的开始并增加 9 小时。