我试图在 Splunk 查询中的 Streamstats 命令中减去两次,但收到一个空字符串。时间格式为 Y-M-DTHH:MM:SS.N
例如,有两个日期,可能是 (1) 2023-12-21T01:02:03.123 和 (2) 2023-12-21T01:02:03.200
减去 (2) - (1) 即可得到某种持续时间(如本例中的 77)。
我的 Splunk 查询:
index=web sourcetype=my_source | eval timestamp = strptime(timestamp, "%Y-%m-%dT%H:%M:%S.%N") | streamstats global=f current=f window=2 range(timestamp) as duration | table _time, timestamp我正在尝试减去两个日期,但我不断收到没有数字表示的空字符串值。
您无法在 Splunk 中减去日期。它们必须转换为(或保留为)整数,然后相减。
index=web sourcetype=my_source
| streamstats global=f current=f window=2 range(timestamp) as duration
| eval timestamp = strptime(timestamp, "%Y-%m-%dT%H:%M:%S.%N")
| table _time, timestamp, duration