Может ли кто-нибудь предоставить мне способ заставить Splunk преобразовать извлеченное поле, которое в настоящее время находится в миллисекундах, в ЧЧ: ММ: СС?
...| fieldFormat inSeconds = tostring(inMS/1000,"duration)
, где inMS - это имя извлеченного поля, а inSeconds - результат, который вы хотите
добавить | fields - inMS, чтобы удалить исходное поле
| fields - inMS