Solved: Re: 特定の時間のstatus=successより一つ前のstatus=successをとる方法

appleman · ‎04-15-2014

時間を指定して、その時間帯に出ているオペレーションに対するステータスが成功（status=success）に対し、その時間よりも前でstatus=successが出ているのを抽出しその間の時間を出したい時にどのようなサーチ文を組めばよろしいでしょうか。
durationを出すためにはtransactionを利用しますが、単純にindex=* | transaction stratswith=(status="success") endswith=(status="success")とやるとNo Resultが返ってきてしまいます。
この中にeval等で時間を指定していかなきゃいけないと思うのですが、その指定方法をご教示お願い致します。

bananaman · ‎04-15-2014

streamstats はいかがでしょうか？

類似のAnswers記事がありますが、このような前イベントとのフィールド値の比較でしょうか？

comparing-fields-with-previous-events

以下のようなイメージ？でしょうか。。。

sourcetype=xxxx status=success  | streamstats current=false window=1 last(_time) as previous_time | eval diffTime=_time-previous_time | table _time previous_time diffTime

View solution in original post

bananaman · ‎04-15-2014

streamstats はいかがでしょうか？

類似のAnswers記事がありますが、このような前イベントとのフィールド値の比較でしょうか？

comparing-fields-with-previous-events

以下のようなイメージ？でしょうか。。。

sourcetype=xxxx status=success  | streamstats current=false window=1 last(_time) as previous_time | eval diffTime=_time-previous_time | table _time previous_time diffTime

appleman · ‎04-16-2014

ありがとうございます！

特定の時間のstatus=successより一つ前のstatus=successをとる方法

Stay Connected: Your Guide to May Tech Talks, Office Hours, and Webinars!

They're back! Join the SplunkTrust and MVP at .conf24

Enterprise Security Content Update (ESCU) | New Releases