Splunk为dur2sec convert function“将[s]持续时间格式[D+]HH:MM:SS转换为秒”..
但是,JSON格式的日志中的数据(通过Serilog)来自.NET时间源值,该值已被序列化为"00:00:00.2787721" - 请注意小数第二个组件。
将此字符串作为小数秒值(即0.2787721)导入Splunk的最痛苦的方法是什么,以便它可以用于绘图? timeformat=的{{1}}选项似乎不适用于 timespan 转换函数。
使用convert +数学(或其他严重错综复杂的逃避序列)不是一种简单或易于重现的数据提取方式;我怀疑我是第一个尝试使用这种“通常”格式化值的人。
答案 0 :(得分:0)
您可以使用strptime()获取以秒为单位的Unix时间的持续时间,然后从中减去“ 0秒Unix时间”,即“ Unix时间0”,以获取实际秒数。
|eval number=strptime(Duration,"%H:%M:%S.%2N")-strptime("00:00:00.00","%H:%M:%S.%2N")