Я немного запутался, так как у меня есть некоторые события, принимаемые из файла .csv в разрозненном виде из разных часовых поясов: Китай, Тихоокеанский, Восточный, Европа и т. Д., идентификатор конференции и имя хоста ..... и т.д.
для вашей информации (conferenceID = 131146947830496273, 130855971227450408 ......) было интересно, если я должен сделать "....... | statsподсчет идентификатора конференции "для определенного временного интервала (например, с 12:00 до 15:00 сегодня), сидя в тихом часовом поясе, используя время начала и время окончания поиска событий, должно собрать все события, сортируя оттуда время исходных часовых поясовинтервал, но не взятый интервал времени часового пояса.
ниже приведены некоторые примеры журналов, которые у меня есть
testincsso, 130878564690050083, Shona, "GMT-07: 00, Pacific (SanFrancisco) ", 4,06 / 17/2019 09: 33: 17,06 / 17/2019 09: 42: 23,10,0,0,0,0,0,0,9,0,0,1,0,0,1,1 host = usloghost1.example.com sourcetype = webex_cdr 17.06.19 12: 29: 03.060 AM
testincsso, 129392485072911500, Мэн, «GMT + 08: 00, Китай (Пекин)», 45,06 / 17/2019 07: 29: 03,06 / 17/2019 07: 59: 22,31, 0,0,0,0,0,0,0,0,30,1,1,0,0,1 host = usloghost1.corp.example.com sourcetype = webex_cdr 17.06.19 12: 19: 11.060AM
testincsso, 131121310031953680, Сара Уорд, "GMT-07: 00, Pacific (San Francisco)", 4,06 / 17/2019 07: 19: 11,06 / 17/2019 07:52:54,34,0,0,0,0,0,0,0,0,34,3,3,0,0,2 host = usloghost1.corp.example.com sourcetype = webex_cdr 17.06.19 12:00: 53,060 AM
testincsso, 130878909569842780, Патрик Янеш, «GMT + 02: 00, Европа (Амстердам)», 22,06 / 17/2019 07: 00: 53,06 / 17/2019 07:04: 50,4,0,0,0,0,0,0,4,0,2,3,2,0,1,2 хост = usloghost1.corp.example.com sourcetype = webex_cdr
обновление:
есть 2 поля во времени начала и окончания событий для каждой конференции, проводимой в местном часовом поясе (TZ, инициирующий событие).также _time относится к потерянному времени, которое мне не нужно в этом случае.мне нужно указать дату_часа, дату_минуты, дату_секунды ... и т. д., которые показывают местное время часового пояса (Китай, Европа, Азия ... и т. д.).поэтому, когда я сижу здесь, тихоокеанский TZ и пытаюсь найти index = test "testincsso" |Счетчик статистики (conferenceID) по _time принимает интервал времени за последние 4 часа, после чего вывод должен отображать количество Центров, беря счет всех событий, сравнивая с местным временем TZ за последние 4 часа.поэтому мне нужно использовать "| eval hour = strftime (_time,"% H ")" или "| eval mytime = _time | convert timeformat ="% H ctime (mytime) "перед статистикой. спасибо
-Также изменение поведения таймера по умолчанию может дать правильные результаты. У меня есть события с полями «время начала» и «время окончания» из разных TZ. Поэтому, когда я пытаюсь искать события, например, диапазон дат «06-16-2019», используя время-пикер Я должен получить все события, увидев поле "время начала" в событиях, а не "_time" в Splunk. Я хочу изменить поведение по умолчанию для моего средства выбора времени спленк и выдает выходные данные в полях событий sieng (например, "время начала" &«время окончания». под запросом, который я изменил в исходном xml.
index = test sourcetype = webex] «testinc» | eval earliest = $ toearliest $ | eval latest = if ($ tolatest $ <0, сейчас(), $ tolatest $) | eval datefield = strptime ($ Time $, "% m /% d /% Y% H:% M:% S") | счет статистики (Конференция) </p>