我正在将Splunk仪表板转换为Kusto仪表板
下面是Splubk查询,它给出了从60分钟开始的分钟数index=V source=c:\files\build\* | head 1 | eval minutesSince=round((now() - _indextime)/60,0) | table minutesSince
我尝试在库斯托创建相同的,但时间不匹配给我0分钟。但是Splunk和Kusto的数据是一样的。不确定我应该纠正查询的哪一部分。谢谢您的支持。
| extend minutesSince = (now() - ingestion_time())/60
| project minutesSince,BuildId
| limit 1```
您可以尝试如下操作:
表示整个表:
TableName
| summarize minutes_since_last_ingestion = (now() - max(ingestion_time())) / 1m
或者,每条记录:
TableName
| extend minutes_since_ingestion = (now() - ingestion_time()) / 1m