我正在尝试根据一天中每小时的 splunk 搜索获取结果。我想在结果中添加时间戳。我期望结果中有 24 行,每行被视为一小时数据,每天每行中都会提到时间戳。
我的基本查询:
index = 'xyz' sourcetype='abc' status='completed'
任何人都可以帮我修改以下格式的查询吗?
time status
1am completed
2am completed
.. ...
11pm completed
timechartindex='xyz' sourcetype='abc' status='completed'
| timechart span=1h count by status