下午好!我们在splink上收到消息,现在是测试消息,类型如下:
{
"event": "Sourcetype test please",
"sourcetype": "testsystem-2",
"host": "some-host-123",
"fields":
{
"messageId": "ED280816-E404-444A-A2D9-FFD2D171F928",
"srcMsgId": "rwfsdfsfqwe121432gsgsfgd3",
"Correlation_srcMsgId": "",
"baseSystemId": "abc1",
"routeInstanceId": "abc2",
"routepointID": "abc3",
"eventTime": "1985-04-12T23:20:50Z",
"messageType": "abc4",
"GISGMPRequestID": "PS000BA780816-E404-444A-A2D9-FFD2D1712345",
"GISGMPResponseID": "PS000BA780816-E404-444B-A2D9-FFD2D1712345",
"resultcode": "abc7",
"resultdesc": "abc8"
}
}
任务如下:第一条消息和第二条消息之间以及第二条和第三条消息之间有一段时间。任务是,您需要以某种方式计算这些间隔之间的增量,并将其显示在仪表板上。这是真的吗?问题是,我该怎么做?有一个粗略的例子吗?不幸的是,我以前根本没有和splink合作过,所以我甚至不知道从哪里开始。如果你需要引导性问题,我随时准备回答。
要查找事件之间数字字段(包括_time(的差异,请使用streamstats命令的range函数。该函数计算给定字段的最低值和最高值之间的差值。当window选项将值集限制为2时,您将获得从一个事件到下一个事件的增量。
index=foo
| streamstats window=2 range(_time) as diff
还有类似的delta命令。
index=foo
| delta _time as diff