Duration 如何在splunk中的一个字段中计算值1和0之间的持续时间?
如何计算一个公共字段的值1和0之间的持续时间?持续时间也应通过以下持续时间计算进行总结。 在图片中,您可以看到初始情况(前两列),您可以退出基本搜索!在右两列中,应计算时间计算 代码: |基本搜索 -->然后得到结果,可以在图片的前两列中看到 @schiggy 你能试试这个吗Duration 如何在splunk中的一个字段中计算值1和0之间的持续时间?,duration,splunk,splunk-query,Duration,Splunk,Splunk Query,如何计算一个公共字段的值1和0之间的持续时间?持续时间也应通过以下持续时间计算进行总结。 在图片中,您可以看到初始情况(前两列),您可以退出基本搜索!在右两列中,应计算时间计算 代码: |基本搜索 -->然后得到结果,可以在图片的前两列中看到 @schiggy 你能试试这个吗 YOUR|u SEARCH | transaction startswith=“variableX=1”endswith=“variableX=0” |表\ u持续时间 |统计总和(持续时间)作为总持续时间 我的样本搜索:
YOUR|u SEARCH | transaction startswith=“variableX=1”endswith=“variableX=0”
|表\ u持续时间
|统计总和(持续时间)作为总持续时间|生成结果计数=10
|eval diff=10
|累积差异
|eval variableX=if(差异%20==0,0,1)
|eval_time=now()-diff
|表_时间变量x
|事务开始时使用=“variableX=1”endswith=“variableX=0”
|表\ u持续时间
|统计总和(持续时间)作为总持续时间
|评估总持续时间=tostring(总持续时间,“持续时间”)YOUR|u SEARCH | transaction startswith=“variableX=1”endswith=“variableX=0”
|表\ u持续时间
|统计总和(持续时间)作为总持续时间|生成结果计数=10
|eval diff=10
|累积差异
|eval variableX=if(差异%20==0,0,1)
|eval_time=now()-diff
|表_时间变量x
|事务开始时使用=“variableX=1”endswith=“variableX=0”
|表\ u持续时间
|统计总和(持续时间)作为总持续时间
|eval total_duration=tostring(total_duration,“duration”)