timechart 正在创建不属于 splunk 搜索的统计数据

timechart is crating stats which are not part of the search in splunk

我正在使用以下查询从产品系统中提取一些用于 PE 测试的卷数据

我希望获得从上午 9 点到下午 6 点之间与代理名称相关的事件计数的统计信息。但是按照代码创建一整天的统计信息,请帮我删除这些额外的数据。

查询

index= index_Name environmentName= Env_name clientAppName="App_Name"
| eval eventHour=strftime(_time,"%H")
| where eventHour<18 AND eventHour>=9
| timechart count span=60m by proxyName

结果:

TIme Proxy1 proxy2
2022-02-16 06:00 0 0
2022-02-16 07:00 0 0
2022-02-16 08:00 0 0
2022-02-16 09:00 27 34

缩短时间 window 的最佳方法是在搜索命令中使用 earliestlatest 选项。

要查找今天上午 9 点到下午 6 点之间的事件:

index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=@d+9h latest=@d+18h
| timechart count span=60m by proxyName

要查找昨天上午 9 点到下午 6 点之间的事件:

index= index_Name environmentName= Env_name clientAppName="App_Name" earliest=-1d@d+9h latest=-1d@d+18h
| timechart count span=60m by proxyName

@d+9h 构造表示转到一天的开始并增加 9 小时。