Splunk查询减去时间

时间:2018-03-15 21:59:01

标签: splunk splunk-query

我有一个像这样的Splunk搜索查询:

...earlier query.....
| eval sTime=mvindex(sTime,1), eTime=mvindex(eTime,1), 
TotalTime = strptime(sTime, "%Y-%m-%dT%H:%M:%S%z") - strptime(eTime, "%Y-%m-%dT%H:%M:%S%z") 
| table sTime eTime TotalTime

我的日志中有这样的启动和ebdtime:

STIME:2018-03-14T19:18:10.851

ETIME:2018-03-14T19:19:20.667

我得到的总时间是空的,即没有值。这个查询有什么问题? 在这里关注Splunk论坛:Link

1 个答案:

答案 0 :(得分:1)

您的查询存在两个问题。

  1. 你应该从eTime中减去sTime(IOW,eTime应该是第一个)。
  2. 日志中的时间格式与strptime来电中的格式不匹配。试试strptime(sTime, "%Y-%m-%dT%H:%M:%S.%3N")
相关问题
最新问题