Splunk 查询:
index=* host="TMP-2001" | transaction id startswith="Start mode" endswith="Stop mode" | chart count by timestamp
我使用 id 是因为它是我所有日志中最一致的 id。 Start mode 和 Stop mode 是事件的名称。
目前我的查询只是显示我所有的时间戳,但我试图获得两个事件之间的持续时间(以秒为单位)?
每条日志都有以下内容:
id: TEMP_1
event: Start mode
level: debug
timestamp: 2023-03-28T16:38:43.323-0400
下一篇日志等等……
id: TEMP_1
event: Stop mode
level: debug
timestamp: 2023-03-28T16:38:41.802-0400