В Splunk функция streamstats выдает накопленные данные еженедельно, но отображает данные "с четверга по четверг" вместо "с понедельника по воскресенье"

Question

В Splunk функция streamstats выдает накопленные данные еженедельно, но отображает данные "с четверга по четверг" вместо "с понедельника по воскресенье"

В Splunk я хочу отображать данные накопительным способом на еженедельной основе, но ниже запроса подсчитывает данные с "четверга по четверг" вместо "с понедельника по воскресенье".

Пожалуйста помоги.

index=c sourcetype=c | timechart count(eval(State = "Closed" OR State= "Resolved")) as "Closed", count(eval(State = "Assigned" OR State= "Open")) as "Still Open", count(eval(State = "Pending")) as "Pending" span=1w |  streamstats sum(*) as *

0

splunk splunk-query splunk-sum

Источник

user8086222 21 авг '17 в 12:37

1 ответ

Решение

Другие вопросы по тегам splunk splunk-query splunk-sum

user8701874 30 сен '17 в 22:07 2017-09-30 22:07 · Accepted Answer · 2017-09-30 22:07

Вы можете явным образом "связать" _time в недели, начиная с любого конкретного дня недели, используя функцию lative_time() и модификаторы времени "w" или "w0" (для воскресенья), "w1" (для понедельника) и "w6". (на субботу).

index=c sourcetype=c 
| eval _time =relative_time(_time,"@w1")
| timechart count(eval(State = "Closed" OR State= "Resolved")) as "Closed", count(eval(State = "Assigned" OR State= "Open")) as "Still Open", count(eval(State = "Pending")) as "Pending" span=1w  
|  streamstats sum(*) as *