关于 Splunk 查询中最后修改日期的排序问题
Sorting problem regarding Last Modified Date in Splunk query
我在 SPLUNK 中排序时遇到问题。
我想制作自动报告,我想在日历中对一天的工单数量进行排序。
一张票有这些时间戳:
ACTUAL_END_DATE="2018-10-29 01:00:00.0",
ACTUAL_START_DATE="2018-10-29 00:00:00.0",
CLOSED_DATE="2019-06-16 12:56:00.0",
COMPLETED_DATE="2019-06-06 10:47:46.0",
EARLIEST_START_DATE="2018-10-23 11:20:42.0",
LAST_MODIFIED_DATE="2019-06-16 12:56:07.0",
RFA_DATE="2018-10-23 11:20:42.0",
RFC_DATE="2018-10-22 15:19:00.0",
SFA_DATE="2019-06-06 10:47:02.0",
SFR_DATE="2019-06-06 10:46:52.0",
SCHEDULED_DATE="2019-06-06 10:47:06.0",
SCHEDULED_END_DATE="2018-10-29 01:00:00.0",
SCHEDULED_START_DATE="2018-10-29 00:00:00.0",
SUBMIT_DATE="2018-10-22 15:18:53.0",
我按两个标记排序,最早的是“@mon”,最新的是"now"。
不幸的是,它按LAST_MODIFIED_DATE排序,我一天有62张票。所有 ACTUAL_START_DATE 在不同的月份,因为您可以在关闭后更改机票以添加详细信息。
这是我的查询:
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| timechart count span=1D
我如何对它们进行排序并去掉 LAST_MODIFIED_DATE 的计数并让它们显示为 ACTUAL_START_DATE?
timechart 命令按_time 排序,而不是按LAST_MODIFIED_DATE 排序(尽管这两个字段可能具有相同的值)。要使用不同的字段,请将该字段的值分配给 _time。
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| eval _time = strptime(ACTUAL_START_DATE, "%Y-%m-%d %H:%M:%S.%N")
| timechart count span=1D
我在 SPLUNK 中排序时遇到问题。
我想制作自动报告,我想在日历中对一天的工单数量进行排序。
一张票有这些时间戳:
ACTUAL_END_DATE="2018-10-29 01:00:00.0",
ACTUAL_START_DATE="2018-10-29 00:00:00.0",
CLOSED_DATE="2019-06-16 12:56:00.0",
COMPLETED_DATE="2019-06-06 10:47:46.0",
EARLIEST_START_DATE="2018-10-23 11:20:42.0",
LAST_MODIFIED_DATE="2019-06-16 12:56:07.0",
RFA_DATE="2018-10-23 11:20:42.0",
RFC_DATE="2018-10-22 15:19:00.0",
SFA_DATE="2019-06-06 10:47:02.0",
SFR_DATE="2019-06-06 10:46:52.0",
SCHEDULED_DATE="2019-06-06 10:47:06.0",
SCHEDULED_END_DATE="2018-10-29 01:00:00.0",
SCHEDULED_START_DATE="2018-10-29 00:00:00.0",
SUBMIT_DATE="2018-10-22 15:18:53.0",
我按两个标记排序,最早的是“@mon”,最新的是"now"。
不幸的是,它按LAST_MODIFIED_DATE排序,我一天有62张票。所有 ACTUAL_START_DATE 在不同的月份,因为您可以在关闭后更改机票以添加详细信息。
这是我的查询:
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| timechart count span=1D
我如何对它们进行排序并去掉 LAST_MODIFIED_DATE 的计数并让它们显示为 ACTUAL_START_DATE?
timechart 命令按_time 排序,而不是按LAST_MODIFIED_DATE 排序(尽管这两个字段可能具有相同的值)。要使用不同的字段,请将该字段的值分配给 _time。
stats latest(STATUS_REASON) as STATUS_REASON latest(CHANGE_REQUEST_STATUS) as CHANGE_REQUEST_STATUS latest(_time) as _time latest(CHANGE_TIMING) as CHANGE_TIMING by INFRASTRUCTURE_CHANGE_ID
| where CHANGE_REQUEST_STATUS !="Cancelled"
| eval _time = strptime(ACTUAL_START_DATE, "%Y-%m-%d %H:%M:%S.%N")
| timechart count span=1D