我有一个查询,可以从不同的时隙计算批处理日志并使用append命令显示输出。但是在第一个时隙中,我得到的批处理日志不在同一查询的第二个时隙中。在追加后的查询输出中,我没有得到仅出现在时隙中的日志。
使用
查询index =主要sourcetype = xml“ MSR *”最早= -30d最新= -15d 在上面的查询中,我在输出中得到了MSR1451批处理。
index = main sourcetype = xml“ MSR *”最早= -14d Latest = now() 在上面的查询中,我们没有得到该MSR1451批次。
index = main sourcetype = xml“ MSR *”最早= -30d Latest = -15d |字段jobName | eval marker =“ 15天之前” |追加[搜索索引=主源类型= xml“ MSR *”最早= -30d最新= -15d |字段jobName | eval marker =“ 15天后”] | |统计数(eval(marker =“ 15天之前”))AS在15天之前,按JobName计数(eval(marker =“ 15天之前”))AS在15天之后
在上面的查询中,我仅获得同时出现在两个时隙中的常见作业。我只需要列出一个时隙中出现的作业。
答案 0 :(得分:0)
您是要在主要搜索和子搜索中使用最早= -30d和最新= -15d吗?
在您发布的查询中,两个搜索的最早和最新使用相同的值。您需要这样做:
index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="Before 15 days" | append [search index=main sourcetype=xml "MSR*" earliest=-15d latest=now() |fields jobName | eval marker="After 15 days"] | stats count (eval(marker="Before 15 days")) AS Before 15 days, count (eval(marker="After 15 days")) AS After 15 days by JobName