0

我有一个这样的 Splunk 搜索查询:

...earlier query.....
| eval sTime=mvindex(sTime,1), eTime=mvindex(eTime,1), 
TotalTime = strptime(sTime, "%Y-%m-%dT%H:%M:%S%z") - strptime(eTime, "%Y-%m-%dT%H:%M:%S%z") 
| table sTime eTime TotalTime

我的日志中有这样的 start 和 ebdtime:

时间:2018-03-14T19:18:10.851

电子时间:2018-03-14T19:19:20.667

我得到 Totaltime 是空的,即没有值。这个查询有什么问题?在此处关注 Splunk 论坛:链接

4

1 回答 1

1

您的查询有两个问题。

  1. 您应该从 eTime 中减去 sTime(IOW,eTime 应该是第一个)。
  2. strptime您日志中的时间格式与通话中的格式不匹配。试试strptime(sTime, "%Y-%m-%dT%H:%M:%S.%3N")
于 2018-03-15T23:12:17.590 回答