Solved: timestampが認識されない

appleman · ‎12-12-2013

データインプットの際に、タイムスタンプが上手く読み込まれないのですが、時間が入っていないと読み込まないのでしょうか。

melonman · ‎12-12-2013

認識として、日付けまではいっているとうまくいくとおもいますが、
まずは、データをとにかく取り込んでしまってから、
表示されているデータをつかって、何か集計するという方法が早そうですので、
以下のように実施してみてはいかがでしょうか。

例えば、上記のデータをそのまま取り込み、2011/10などの年月のデータを使って、100%などのデータを扱う場合には、

sourcetype=yours 
| rex "^(?<yyyymm>[^,]+),(?<v1>[^%]+)%,(?<v2>[^%]+)%" 
| eval _time=strptime(yyyymm+"/01", "%Y/%m/%d")
| timechart span=1mon first(v1) as v1 first(v2) as v2

などとしていただければ、データ上の日付けからtimechartなどがつかえるとおもいます。
＊必要に応じて、日付けや各データのフィールド定義をおこなっていただければ、rexは必要ありません。
＊年と月だけでstrptimeをおこなうと、うまくいかないので、日を月初めとして"01"を足してstrptimeしています。

View solution in original post

melonman · ‎12-12-2013

認識として、日付けまではいっているとうまくいくとおもいますが、
まずは、データをとにかく取り込んでしまってから、
表示されているデータをつかって、何か集計するという方法が早そうですので、
以下のように実施してみてはいかがでしょうか。

例えば、上記のデータをそのまま取り込み、2011/10などの年月のデータを使って、100%などのデータを扱う場合には、

sourcetype=yours 
| rex "^(?<yyyymm>[^,]+),(?<v1>[^%]+)%,(?<v2>[^%]+)%" 
| eval _time=strptime(yyyymm+"/01", "%Y/%m/%d")
| timechart span=1mon first(v1) as v1 first(v2) as v2

などとしていただければ、データ上の日付けからtimechartなどがつかえるとおもいます。
＊必要に応じて、日付けや各データのフィールド定義をおこなっていただければ、rexは必要ありません。
＊年と月だけでstrptimeをおこなうと、うまくいかないので、日を月初めとして"01"を足してstrptimeしています。

appleman · ‎12-13-2013

元データは日付（毎月1日）まで入っているのですが、なぜかデータのプレビュー時に消えてしまっているようです。

timestampが認識されない

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor

Introducing the 2024 SplunkTrust!