这可能是一个非常简单的问题,但我还没有找到答案。我有一些来自某些事件的原始数据,例如“(持续时间 5555 毫秒)”,我想将其放入“| timechart span=1m count by duration”以创建一个图表,显示这些事件发生的时间及其总数期间。目前没有为持续时间设置字段,它只是原始数据。我如何将这些数字纳入我的时间表?
问问题
1054 次
1 回答
1
您首先需要将持续时间的值提取到字段中。您很可能会为此使用正则表达式(rex) 函数。
您需要的确切命令很大程度上取决于您的数据。但是对于您的示例“(持续时间 5555 毫秒)”,假设该值始终以毫秒为单位,这应该可以工作。
| rex field=_raw "\(duration (?<duration>\d+)ms.*"
于 2018-01-22T00:02:20.813 回答