1

我正在将 Splunk Dasboard 转换为 Kusto Dash 板

下面是 Splubk 查询,它给了我自 60 年以来的小工具 index=V source=c:\\files\\build\\* | head 1 | eval minutesSince=round((now() - _indextime)/60,0) | table minutesSince

我尝试在 Kusto 中创建相同的内容,但时间不匹配给了我 0 minutesSince。但是 Splunk 和 Kusto 中的数据是相同的。不确定我应该更正查询的哪一部分。感谢您的支持。

| extend minutesSince = (now() - ingestion_time())/60
| project minutesSince,BuildId
| limit 1```
4

1 回答 1

3

you could try something like the following:

for the entire table:

TableName
| summarize minutes_since_last_ingestion = (now() - max(ingestion_time())) / 1m

or, per record:

TableName
| extend minutes_since_ingestion = (now() - ingestion_time()) / 1m
于 2021-10-20T01:02:42.713 回答