splunk - 需要计数来自不同时区的字段（从.csv上传的文件中有多个字段）

我有点困惑，因为我从.csv文件中提取了一些事件，这些事件来自中国，太平洋，东部，欧洲等不同时区。我有一些字段，例如开始时间，结束时间，TimeZone，TimeZoneID，站点名称，会议ID和主机名.....等等

以获取您的信息（conferenceID = 131146947830496273，130855971227450408 ......）想知道我是否必须在特定的时间间隔（例如今天12:00 pm到15:00 pm）上通过坐在太平洋时区使用“ ....... | stats统计ConferenceID”，使用开始事件搜索中的时间和结束时间应从该事件的始发时区时间间隔中收集所有事件排序，而不是从散发时区时间间隔中收集所有事件。

下面是一些我拥有的日志样本

testincsso，130878564690050083，绍纳，“ GMT-07：00，太平洋（旧金山）”，4,06 / 17/2019 09：33：17,06 / 17/2019 09：42：23,10,0 ，0,0,0,0,0,9,0,0,1,0,0,1,1   主机= usloghost1.example.com源类型= webex_cdr   19/6/17   上午12：29：03.060

testincsso，129392485072911500，孟，“ GMT + 08：00，中国（北京）”，45,06 / 17/2019 07：29：03,06 / 17/2019 07：59：22,31,0， 0,0,0,0,0,0,0,30,1,1,0,0,1   主机= usloghost1.corp.example.com源类型= webex_cdr   19/6/17   上午12：19：11.060

testincsso，131121310031953680，莎拉病房，“ GMT-07：00，太平洋（旧金山）”，4,06 / 17/2019 07：19：11,06 / 17/2019 07：52：54,34， 0,0,0,0,0,0,0,0,34,3,3,0,0,2   主机= usloghost1.corp.example.com源类型= webex_cdr   19/6/17   12：00：53.060 AM

testincsso，130878909569842780，Patrick Janesch，“ GMT + 02：00，欧洲（阿姆斯特丹）”，22,06 / 17/2019 07：00：53,06 / 17/2019 07：04：50,4,0 ，0,0,0,0,0,4,0,2,3,2,0,1,2   主机= usloghost1.corp.example.com源类型= webex_cdr

更新：

在当地时区（事件源自TZ）举行的每个会议的事件开始时间和结束时间都有2个字段。 _time也是我在这种情况下不需要的时间。我需要的是date_hour，date_minutes，date_seconds ... etc，它显示了当地时区的时间（中国，欧洲，亚洲...等）。所以当我坐在太平洋TZ并尝试寻找 index = test“ testincsso” |统计资料计数（conferenceID）_time 将timeinterval设为最近4个小时，然后输出应通过与所有本地TZ过去4个小时的时间进行比较得出所有事件的计数来显示Cenferences的计数。所以我需要在统计信息前使用“ | eval hour = strftime（_time，“％H”）”或“ | eval mytime = _time | convert timeformat =“％H ctime（mytime）””。谢谢

-同时更改时间选择器的默认行为可能会提供正确的结果。我有来自不同TZ的带有“开始时间”和“结束时间”字段的事件。因此，当我尝试使用时间选择器搜索日期范围为“ 06-16-2019”的事件时，我应该通过查看事件的开始时间字段而不是Splunk的“ _time”来获取所有事件。我想更改我的Splunk时间选择器的默认行为，并通过sieng事件字段（例如，“开始时间”和“结束时间”）提供输出。在源xml中更改的查询下方。

index = test sourcetype = webex]“ testinc” |最早=最早eval Latest = if（$ tolatest $ <0，now（），$ tolatest $）| eval datefield = strptime（$ Time $，“％m /％d /％Y％H：％M：％S”）|统计计数（会议）

需要计数来自不同时区的字段（从.csv上传的文件中有多个字段）

1 个答案: