splunk - Splunk 查询中有关上次修改日期的排序问题
问题描述
我有一个关于在 SPLUNK 中排序的问题。
我想制作自动报告,我想在日历中对一天的门票数量进行排序。
一张票有以下时间戳:
ACTUAL_END_DATE="2018-10-29 01:00:00.0",
ACTUAL_START_DATE="2018-10-29 00:00:00.0",
CLOSED_DATE="2019-06-16 12:56:00.0",
COMPLETED_DATE="2019-06-06 10:47:46.0",
EARLIEST_START_DATE="2018-10-23 11:20:42.0",
LAST_MODIFIED_DATE="2019-06-16 12:56:07.0",
RFA_DATE="2018-10-23 11:20:42.0",
RFC_DATE="2018-10-22 15:19:00.0",
SFA_DATE="2019-06-06 10:47:02.0",
SFR_DATE="2019-06-06 10:46:52.0",
SCHEDULED_DATE="2019-06-06 10:47:06.0",
SCHEDULED_END_DATE="2018-10-29 01:00:00.0",
SCHEDULED_START_DATE="2018-10-29 00:00:00.0",
SUBMIT_DATE="2018-10-22 15:18:53.0",
我按两个标记排序,最早的是“@mon”,最新的是“now”。
不幸的是,它按 LAST_MODIFIED_DATE 排序,一天之内我有 62 张票。所有在不同月份都有 ACTUAL_START_DATE 的,因为您可以在关闭后更改票以添加详细信息。
这是我的查询:
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| timechart count span=1D
如何对它们进行排序并摆脱 LAST_MODIFIED_DATE 的计数并在 ACTUAL_START_DATE 之前显示它们?
解决方案
该timechart命令按 _time 排序,而不是按 LAST_MODIFIED_DATE 排序(尽管这两个字段可能具有相同的值)。要使用不同的字段,请将该字段的值分配给 _time。
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| eval _time = strptime(ACTUAL_START_DATE, "%Y-%m-%d %H:%M:%S.%N")
| timechart count span=1D
推荐阅读
- reactjs - 反应受控输入与从带有名称的表单中获取值
- android - 授予android studio SDK 30中特定文件夹的权限
- javascript - NuxtJS:在开发中工作但在生产中工作的路由(netlify)
- html - XPath: Select one of the h4 tag from multiple h4 tags
- spring - 使用授权类型密码获取访问令牌但未使用 spring oauth2 进行身份验证
- android - 我如何单击允许弹出消息以通过 Flutter 中的集成测试包授予权限?
- visual-studio - 无法在 Visual Studio 中运行 Specflow 测试
- python - Pandas 用其他列中的值替换无效的日期时间值
- ios - 是否可以仅与白名单域限制 iOS 应用程序通信?
- kubernetes - 如何在 k8s 部署中将文件挂载到同一子路径中?