在Splunk中更改每周开始的日期

时间:2016-10-13 10:13:06

标签: aggregate splunk dayofweek bucket

我在splunk中运行此查询,每周根据字段“impact_start”对数据进行bucketizes并给出输出。但问题是产出周的开始是星期四而不是星期一。

有什么方法可以将本周开始改为星期一而不是星期四?

for t in range(t_total):
    t = t + 1
    time.sleep(1)
    if t = t1:
        function1()

1 个答案:

答案 0 :(得分:0)

你很幸运 - 如果你看看strftime规范,星期一被视为本周的开始 http://strftime.org/

所以你可以试试这个:(未经测试)

index=* impact=1 OR impact=2 product_line=*
| eval time = round( strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0 )
| where time >= 1473328728 AND time<=1476352728
| eval week = strftime(impact_start,"%Y %w")
| stats values(number) as incident_name by week
相关问题
最新问题