【发布时间】:2014-06-04 14:47:38
【问题描述】:
我试图比较两周内 1 小时的 Tomcat 日志(同一小时,例如本周星期二下午 2-3 点与上周星期二下午 2-3 点)。
我已经看到了两种解决方案。
这描述了在整个时间段内执行单个报告并(有效地)丢弃超出我感兴趣的时间段的结果。(好吧,它更多地描述了与连续时间段的比较,但您可以弄清楚如何丢弃干预的忽略结果)。
- (不记得有一个链接,但
appending 有效地搜索整个时间段并在一个时间段内操纵_time:
sourcetype="ws-logs" source="/var/local/catalina/logs/localhost_access_log.*"
"/importantCall" AND httpStatusCode>=200 AND httpStatusCode<300
earliest=-60m@h latest=-0m@m
| eval marker="today"
| append [search
sourcetype="ws-logs" source="/var/local/catalina/logs/localhost_access_log.*"
"/track/sale" AND httpStatusCode>=200 AND httpStatusCode<300
earliest=-10140m@h latest=-10080m@m
| eval marker="weekAgo"
| eval w1_time=_time+(7*24*60*60)]
| eval _time=if(isnotnull(w1_time), w1_time, _time)
| chart
count(eval(marker=="today")) as lastHour
, count(eval(marker=="weekAgo")) as sameTimeLastWeek
by _time span=10m
| rename _time AS Time
| eval Time=strftime(Time, "%H:%M")
这里只是为了解释一下,我对齐前一小时的开始作为时间段的开始,因此您可能会看到超过 1 小时的数据。我将图表的时间轴格式化为仅显示小时/分钟,因为日期错误。
好的,现在由于数据量大,整个时间段的报告是非跑步者,数据太多(特别是因为我丢弃了其中的98.8%[在总共10200中保留120分钟)分钟的数据])。
第二次搜索工作正常,并且很好地绘制了数据图表。
然而,如果我安排此搜索,则只会运行初始搜索,而不是 appended 搜索。有谁知道更好的解决方案或我需要做什么才能正确附加预定的搜索?
谢谢
如果我从“搜索”应用运行报告的结果:
Time lastHour sameTimeLastWeek
1 13:00 35 43
2 13:10 50 47
3 13:20 72 50
4 13:30 75 38
5 13:40 108 51
6 13:50 100 32
7 14:00 24 11
8 14:10 47 32
9 14:20 38 56
同一时期的预定搜索结果:
Time lastHour sameTimeLastWeek
1 13:00 35 0
2 13:10 50 0
3 13:20 72 0
4 13:30 75 0
5 13:40 108 0
6 13:50 100 0
7 14:00 24 0
8 14:10 47 0
9 14:20 38 0
【问题讨论】:
标签: splunk