Question

Я новичок, чтобы потворствовать, и я пробую сам. Это может быть элементарным вопросом для большинства из вас, но, пожалуйста, наберитесь терпения, пытаясь помочь мне.

| inputlookup "Wsp.csv"
| eval Outage = if(PublisherStatus = "Active", "1","0")
| eval _time=strptime(_time, "%Y-%m-%dT%H:%M:%S")
| eval DayOfWeek=strftime(_time, "%A")

Я пытаюсь добавить Outage и DayOfWeek, которые будут отображаться в результате.

Я пытался использовать поля Outage и dayofweek, но он не отображает остальные поля, присутствующие в Wsp.csv

Возможно ли отобразить Wsp + Outage + dayofweek в результатах поиска? как?

warren · Answer 1 · 29 апреля 2020

То, что вы написали, добавит поля Outage и DayOfWeek к вашим результатам

Если вы хотите изменить их порядок, используйте | table:

| table _time Outage DayOfWeek <rest of fields, or *>

Также, _time не нужно преобразовывать во время эпохи: это внутреннее поле, которое всегда хранится во время эпохи (если ваш CSV не странный)

Добавление пользовательского столбца / поля в результат splunk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Добавление пользовательского столбца / поля в результат splunk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы