这可能是
一个非常简单的问题,但到目前为止我还没有找到答案。我有一些来自某些事件的原始数据,例如"(持续时间 5555ms(",我想把它放在"|时间表跨度=1m 按持续时间计数"以创建一个图表,显示这些事件发生的时间及其总持续时间。目前没有为持续时间设置字段,它只是原始数据。如何将这些数字放入我的时间表?
您首先需要将持续时间的值提取到字段中。您很可能会为此使用正则表达式 (rex( 函数。
您需要的确切命令在很大程度上取决于您的数据。但是对于您的示例"(持续时间 5555ms(",假设该值始终以 ms 为单位,这应该有效。
| rex field=_raw "(duration (?<duration>d+)ms.*"