在splunk中,我试图根据系统状态获取两次系统切换之间的时间间隔。
示例输出
时间戳状态
2019-07-12T15:05:17.394Z是
2019-07-12T12:31:31.601Z是
2019-07-12T06:26:54.592Z是
2019-07-11T12:18:02.592Z是
2019-07-11T11:52:28.587Z是
2019-07-11T11:48:20.866Z否
2019-07-11T11:48:20.743Z否
2019-07-11T11:48:20.591Z否
2019-07-11T11:47:59.876Z否
现在,我们需要输出如下:
持续时间StartTime结束时间状态 27hrs13mins 2019-07-11T11:52:28.587Z 2019-07-12T15:05:17.394Z是 21秒2019-07-11T11:47:59.876Z 2019-07-11T11:52:28.587Z否
index = * sourcetype = * host = *(状态AND是)或(状态AND否)| eval systemStatus = if(searchmatch(“ succeeded”),“ yes”,“ no”)|排序时间戳| streamstats count by systemStatus reset_on_change = true window = 0
预期输出 持续时间StartTime结束时间状态 27hrs13mins 2019-07-11T11:52:28.587Z 2019-07-12T15:05:17.394Z是 21秒2019-07-11T11:47:59.876Z 2019-07-11T11:52:28.587Z否
通过查询,我们可以获取条纹,但无法计算时间。