如何计算一个公共字段的值1和0之间的持续时间?持续时间也应与以下持续时间的计算相加。 在图片中,您可以看到初始情况(前两列),您摆脱了基本搜索!在右两列中,应该计算时间计算。
代码: |基本搜索 ->然后得到结果,您可以在图片的前两列中看到结果。
答案 0 :(得分:0)
@schiggy
可以请您试试吗?
YOUR_SEARCH | transaction startswith="variableX=1" endswith="variableX=0"
| table _time duration
| stats sum(duration) as total_duration
我的样本搜索:
| makeresults count=10
| eval diff=10
| accum diff
| eval variableX=if(diff%20==0,0,1)
| eval _time=now()-diff
| table _time variableX
| transaction startswith="variableX=1" endswith="variableX=0"
| table _time duration
| stats sum(duration) as total_duration
| eval total_duration=tostring(total_duration, "duration")
