这可能是一个非常简单的问题,但我还没有找到答案。我有一些事件的原始数据,例如“(持续时间5555ms)”,我想把它放在“| timechart span = 1m count by duration”中,以创建一个图表,显示这些事件发生的时间及其总数持续时间。目前没有设置持续时间的字段,它只是原始数据。我如何将这些数字输入我的时间表?
答案 0 :(得分:1)
首先需要将持续时间的值提取到字段中。您很可能会使用regex(rex)函数。
您需要的确切命令将在很大程度上取决于您的数据。但是对于你的例子"(持续时间5555ms)",假设值总是以ms为单位,这应该有效。
| rex field=_raw "\(duration (?<duration>\d+)ms.*"