В настоящее время я пытаюсь настроить дополнительный поисковый запрос на панели инструментов, которая проверяет определенный интервал времени. Работа, которую я пытаюсь настроить, выполняется три раза в день. Один раз в 6 утра, один раз в 12:20 и один раз в 16:20 (16:20). В настоящее время запрос просто ищет самое последнее время и устанавливает фон относительно того, получил ли он ошибку или нет, но пользователи хотели, чтобы три раза в день он отображался отдельно, поэтому теперь мне нужно установить интервал времени длякаждая из трех панелей для отображения, и я попробовал много вещей без удачи (я новичок в спленке, поэтому я просто случайно пробовал другой синтаксис).
Я пытался использовать команду поиска | поискВремя> 6:00:00 Время <7:00:00, а также попытался использовать другие команды, которые встречаются до команды stats, которая получает последнее время без удачи, и я просто застрял в этой точке и понятия не имею, что попробовать. </p>
У меня есть индекс вверху, но я не думаю, что его нужно показывать.
|rex field = _raw ". + EVENT: \ s (? \ S +) \ s. + STATUS: \ s (? \ S +) \ s. + JOB: \ s (? \ S +)" |статистика последняя (_time) как время по статусу |eval Time = strftime (Time, "% H:% M:% S") stats Time> 6:00:00 Time <7:00:00 |Сортировка 1 - Время |Время таблицы статуса |добавить [|makeresults |eval Time = "06:10:00"] |eval range = case (status = "FAILURE", "серьезно", status = "SUCCESS", "низкий уровень", 1 == 1, "защищен") |голова 1 </p>