如何解决Splunk在外部查询提供的时间范围内获取内部查询结果
在UserMessageChanelMap中成功调度了PushNotification LINK_MORE_ACCOUNTS | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5)|表messageKey_,num | evalchedDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strftime(strptime(scheduledDate,“%a%b%d%H:%M:%S%Z%Y”),“%Y-%m-%d%H:%M:%S”) |统计信息按newTS,messageKey | stats min(newTS)作为ScheduledDate,max(newTS)作为ScheduledDate | appendcols [搜索((“ 无法发送PushNotification ”)messageKey:LINK_MORE_ACCOUNTS NOT(“ * |原因:无法传递|”)|提取pairdelim =“ |” kvdelim =“:” |表userId ,userMessageId,messageKey |统计信息按userId,userMessageId,messageKey |表userId,userMessageId,messageKey |统计信息按messageKey计算为pushFallOffPoints]
在这里,我想在fromScehduledDate-toScehduledDate的时间范围内运行子查询。我试图将这些日期最早最早地传递出去,但是那没有用。感谢帮助。
解决方法
子搜索首先运行,因此没有将字段传递到子搜索的事情。但是,子搜索可以使用format
或return
命令将字段返回到主搜索。单独运行子搜索以查看其返回的确切信息,并验证与主搜索结合使用时返回的字符串是否有意义。
我能够找出解决方案
([[在LINK_MORE_ACCOUNTS中搜索成功计划的PushNotification | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5) |表messageKey_,num | eval ScheduleDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strptime(scheduledDate,“%a%b %d%H:%M:%S%Z%Y“)|统计信息由newTS,messageKey |统计信息min(newTS)最早|返回最早] ,[在UserMessageChanelMap中搜索成功调度的PushNotification LINK_MORE_ACCOUNTS | eval字段= split( raw,“ |”)| eval messageKey = mvindex(fields,2)| eval num = mvindex(fields,5)|表messageKey_,num | evalchedDate = replace(num,“ scheduledDate:”,“”)| eval messageKey = replace(messageKey _,“ messageKey:”,“”)| eval newTS = strptime(scheduledDate,“%a%b%d%H:%M:%S%Z%Y”)|统计信息按newTS,messageKey | stats max(newTS)最新|返回最新]) (container_name =“ ace-service”)(“ 无法发送PushNotification ”)messageKey:LINK_MORE_ACCOUNTS NOT(“ * |原因:无法传递|”)|提取pairdelim =“ |” kvdelim =“:” |表userId,userMessageId,messageKey |统计信息按userId,userMessageId,messageKey |表userId,userMessageId,messageKey |统计信息由messageKey计为pushFallOffPoints
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。