Splunk запрос с использованием append

Question

У меня есть запрос, который вычисляет журналы партии из разных временных интервалов и показывает результат, используя команду добавления. Но в первом интервале я получаю журнал партии, которого нет во 2-м временном интервале того же запроса. В выводе запроса после добавления я не получаю журналы, которые появляются только в временном интервале.

Запрос с использованием

index = основной тип источника = xml "MSR *" самое раннее = -30d самое позднее = -15d В приведенном выше запросе я получаю пакет MSR1451 на выходе.

index = основной тип источника = xml "MSR *" самое раннее = -14d самое позднее = сейчас () в приведенном выше запросе мы не получаем этот пакет MSR1451.

index = основной sourcetype = xml "MSR *" самое раннее = -30d самое позднее = -15d | поля jobName | eval marker = "До 15 дней" | append [search index = main sourcetype = xml "MSR *" самое раннее = -30d самое последнее = -15d | поля jobName | eval marker = "Через 15 дней"] | Счет статистики (eval (маркер = "До 15 дней")) AS До 15 дней, счет (eval (маркер = "После 15 дней")) AS Через 15 дней по JobName

В приведенном выше запросе я получаю только общие задания, которые появляются в обоих временных интервалах. Мне нужно, чтобы вакансии, которые появляются только в одном временном интервале, также должны быть перечислены.

Answer 1

Вы хотите использовать самые ранние = -30d и самые поздние = -15d в основном поиске и под-поиске?

В отправленном вами запросе вы используете одинаковые значения для самого раннего и самого последнего в обоих запросах. Вам нужно сделать:

index=main sourcetype=xml "MSR*" earliest=-30d latest=-15d |fields jobName | eval marker="Before 15 days" | append [search index=main sourcetype=xml "MSR*" earliest=-15d latest=now() |fields jobName | eval marker="After 15 days"] | stats count (eval(marker="Before 15 days")) AS Before 15 days, count (eval(marker="After 15 days")) AS After 15 days by JobName