type-conversion - Splunk 在当前毫秒内将提取的字段转换为 HH:MM:SS

Question

谁能为我提供一种让 Splunk 将当前以毫秒为单位的提取字段转换为 HH:MM:SS 的方法？

Answer 1

...| fieldFormat inSeconds = tostring(inMS/1000,"duration)

其中 inMS 是提取字段的名称， inSeconds 是您想要的结果

添加 | fields - inMS删除原始字段