我正在使用 splunk。我想在每天晚上 9.30 到凌晨 12:00 的特定时间范围内为 api 调用提取日志。此外,在特定时间段内通话的平均时间。
index="index_a" sourcetype="pqr" source="prq_source" "Success in api response"
有人可以指导我如何处理这个问题,我们如何在该特定持续时间内获取至少 7 天。
【问题讨论】:
标签: monitoring splunk splunk-query
这样的事情应该可以工作(只要您有 Splunk 创建的 automatic 字段 date_hour):
index="index_a" sourcetype="pqr" source="prq_source" "Success in api response" earliest=-7d
| where (date_hour>=21 AND date_minute>=30) OR date_hour>=22
| stats avg(call_duration) as avg_call by success_id
如果 Splunk 没有自动提供 date_hour 和 date_minute ,您可以使用 strftime 自己创建它们:
| eval date_hour=strftime(_time,"%H"), date_minute=strftime(_time,"%M")
【讨论】: