0

我是 Splunk 的新手。我的目标是优化 API 调用,因为该特定 API 方法的执行时间超过 5 分钟。

在我使用上下文 ID 搜索的 Splunk 中,我得到了主 API 调用函数为该特定执行调用的所有函数和子函数。现在我想弄清楚哪个子函数花费的时间最长。在左侧的 Splunk 中,在字段列表中,我看到字段名称 CallStartUtcTime(例如“2021-02-12T20:17:42.3308285Z”)和 CallEndUtcTime(例如“2021-02-12T20:18:02.3702937Z”)。在搜索中,我该如何编写一个函数来区分这两次。我谷歌发现我们可以使用 eval() 函数,但对我来说它返回空值。

附加信息:

搜索:搜索中的上下文 id 和 eval

单击“创建表视图”并检查左侧字段列表中的开始、结束和差异字段。但是这三个都是空的

在此处输入图像描述

不知道我在做什么错。我想找出每个功能所花费的时间。

4

1 回答 1

0

Splunk 无法比较字符串形式的时间戳。首先必须将它们转换为纪元(整数)形式。使用该strptime()功能。

...
| eval start = strptime(CallStartUtcTime, "%Y-%m-%dT%H:%M:%S.%7N%Z")
| eval end = strptime(CallEndUtcTime, "%Y-%m-%dT%H:%M:%S.%7N%Z")
| eval diff = end - start
...
于 2021-02-13T12:13:57.453 回答