我需要你的帮助。
我想用这个查询比较不同日期的 2 个图表:
`mc_stomv2_jboss("pr",*,*,"app")` environnement="rrr" espace="toto" slot="*" canal="2" message.technicalChannel=api earliest=-4h@m latest=now
| eval periode_earliest="-4h@m"
| eval periode_latest="now"
| eval earliesttime_f=if(like('periode_earliest',"%@%"),relative_time(now(), "-7d@s".'periode_earliest'), 'periode_earliest'-86400*7)
| eval latesttime_f=if(like('periode_latest',"now"),relative_time(now(), "-7d@s"), 'periode_latest'-86400*7)
| eval key="Nb_utilsateurs"+"-"+'kubernetes.namespace_name'."-".'slot'."-"."1"
| append
[
search `mc_stomv2_jboss("pr",*,*,"app")` environnement="rrr" espace="toto" slot="*" canal="2" message.technicalChannel=api fr.laposte.disf.fwmc.tech.trace.impl.DefaultPerformanceTrace earliest=$earliesttime_f$ latest=$latesttime_f$
| eval key="Nb_utilsateurs"+"-"+'kubernetes.namespace_name'."-".'slot'."-"."2"
| eval _time=_time+86400*7
]
| timechart span=$fieldspan$ dc(user) by key
如何使用值 eval(latesttime_f 和 earlytime_f)在追加搜索中首先搜索最早和最晚?
在仪表板 splunk 中,我使用这个:
| eval periode_earliest="$periode.earliest$"
| eval periode_latest="$periode.latest$"
| eval earliesttime=if(like('periode_earliest',"%@%"),relative_time(now(),"-7d@s".'periode_earliest'),'periode_earliest'-86400*7)
| eval latesttime=if(like('periode_latest',"now"),relative_time(now(), "-7d@s"),'periode_latest'-86400*7)
谢谢你的帮助。