Splunk将Epoch毫秒转换为人类可读日期格式问题
我有以下Splunk查询,它试图将Epoch捕获的开始和结束时间格式化为人类可读格式,但似乎splunk在此处提取错误值...
index=wd_test source=*-1.0.0.log | fieldformat c_start=strftime(start,"%m/%d/%Y %H:%M:%S") | convert timeformat="%m/%d/%Y %H:%M:%S" ctime(end) as c_end | eval duration=(end-start)/1000|table start, c_start, end, c_end , duration, sla
我在执行上述查询
时获得了以下结果start c_start end c_end duration sla
1 1430167363808 12/31/9999 23:59:59 1430167364085 12/31/9999 23:59:59 0.277000 2 2 1430167236667 12/31/9999 23:59:59 1430167236856 12/31/9999 23:59:59 0.189000 2
有人可以帮我解决这个问题吗?我在这里尝试了两种不同的方法,但它们都没有工作。
使用以下在线Epoch格式化工具,我能够成功转换,但不能使用Splunk ....
http://www.freeformatter.com/epoch-timestamp-to-date-converter.html
2 个答案:
答案 0 :(得分:0)
我试过在这个问题上进行了调查,看来Splunk不支持13位数EPOCH时间Splunk API仅支持10位数字,EPOCH支持。由于我无法使用13位数,当我将13位数改为10位数时,它对我来说效果很好。
答案 1 :(得分:0)
index=wd_test source=*-1.0.0.log | fieldformat c_start=strftime(start,"%m/%d/%Y %H:%M:%S") | convert timeformat="%m/%d/%Y %H:%M:%S" ctime(end) as c_end | eval duration=***round***(end-start)/1000|table start, c_start, end, c_end , duration, sla
在***round***(end-start)/1000
纪元时间基于秒,而不是毫秒
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?