1. Accueil
  2. Question et réponse
  3. Modifier le jour d'où la semaine commence dans le compartiment dans Splunk

Modifier le jour d'où la semaine commence dans le compartiment dans Splunk

2016-10-13 1 views
0

Je cours cette requête dans Splunk qui baigne les données sur une base hebdomadaire, basé sur le champ "impact_start" et me donne la sortie. Mais le problème est que le début de la semaine dans la sortie est jeudi plutôt que lundi.Modifier le jour d'où la semaine commence dans le compartiment dans Splunk

Y a-t-il un moyen de changer le début de semaine en lundi au lieu de jeudi?

search index=* impact=1 OR impact=2 product_line=* | eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0)| where time >= 1473328728 AND time<=1476352728| bucket time span=7d | stats values(number) as incident_name by time

Source

2016-10-13 Nikhil Tikoo

Répondre

0

Vous avez de la chance - Si vous regardez la spécification strftime, lundi est considéré comme le début de la semaine http://strftime.org/

Alors vous pouvez essayer ceci: (non testé)

index=* impact=1 OR impact=2 product_line=* 
| eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0) 
| where time >= 1473328728 AND time<=1476352728 
| eval week = strftime(impact_start,"%Y %w") 
| stats values(number) as incident_name by week

Source

2016-10-16 11:13:51

 Questions connexes

  • Aucun problème connexe^_^