我们有splunk吐出日志声明之类的 潜伏期= 1,840。 Splunk识别延迟= 1 潜伏期= 524。 Splunk识别延迟= 524
Splunk将延迟标识为数字,但仅将值作为1并截断情况1的其他十进制值。因此,其平均值的时间图也会受到影响。我希望使用"转换rmcomma"但这并没有帮助,因为延迟字段在提供转换rmcomma之前已经被删除了数字和逗号。
答案 0 :(得分:1)
同样在:http://answers.splunk.com/answers/232083
问题:“我们有splunk吐出日志声明” - 这是什么意思?信息来自哪里?
我认为Splunk将逗号视为识别“多值领域”。 Splunk管理员可以更改解析方式,但不能回答我之前的问题。
在搜索中执行此操作以解决问题:
yoursearchhere
| eval latency=if(mvcount(latency)>1,mvjoin(latency, ""),latency)
| whateverelse