ことのはじまり
earliest=1h@h とかでサーチすると時間の端数が切り捨てられるのですが、この@
の後ろにつけられる単位は、mとかhとかはできますが、「10分」といった単位ではできないわけです。これをどうにかしたかったわけです。
ぐぐった
https://answers.splunk.com/answers/99161/snap-to-5-minute-increments-in-timerange.html最初、このevalの中でやっている計算(一回割り算してfloor関数使ってその後に掛け算)の意味が全くわからなかったわけですけど、Snapさせたい単位で一回割り算することで半端は小数点になるからfloor切り捨てるってわけですか。いやー、文系脳には難解でしたよ。
結果
こんな感じでできた。サブサーチ素晴らしい20分前(1200sec)の10分Snapから今時点の10分Snapまでをサーチしたい場合
source="PerfmonMk:Memory"[| makeresults | eval earliest=(floor((now()-1200)/600))*600, latest=(floor(now()/600))*600| return earliest latest]
0 件のコメント:
コメントを投稿