https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133011#M36328 <P>streamstats はいかがでしょうか？</P> <P>類似のAnswers記事がありますが、このような前イベントとのフィールド値の比較でしょうか？</P> <P><A href="http://answers.splunk.com/answers/87382/comparing-fields-with-previous-events">comparing-fields-with-previous-events</A></P> <P>以下のようなイメージ？でしょうか。。。</P> <PRE><CODE>sourcetype=xxxx status=success | streamstats current=false window=1 last(_time) as previous_time | eval diffTime=_time-previous_time | table _time previous_time diffTime </CODE></PRE> Wed, 16 Apr 2014 05:20:00 GMT bananaman 2014-04-16T05:20:00Z https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133010#M36327 <P>時間を指定して、その時間帯に出ているオペレーションに対するステータスが成功（status=success）に対し、その時間よりも前でstatus=successが出ているのを抽出しその間の時間を出したい時にどのようなサーチ文を組めばよろしいでしょうか。<BR /> durationを出すためにはtransactionを利用しますが、単純にindex=* | transaction stratswith=(status="success") endswith=(status="success")とやるとNo Resultが返ってきてしまいます。<BR /> この中にeval等で時間を指定していかなきゃいけないと思うのですが、その指定方法をご教示お願い致します。</P> Wed, 16 Apr 2014 03:52:58 GMT https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133010#M36327 appleman 2014-04-16T03:52:58Z https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133011#M36328 <P>streamstats はいかがでしょうか？</P> <P>類似のAnswers記事がありますが、このような前イベントとのフィールド値の比較でしょうか？</P> <P><A href="http://answers.splunk.com/answers/87382/comparing-fields-with-previous-events">comparing-fields-with-previous-events</A></P> <P>以下のようなイメージ？でしょうか。。。</P> <PRE><CODE>sourcetype=xxxx status=success | streamstats current=false window=1 last(_time) as previous_time | eval diffTime=_time-previous_time | table _time previous_time diffTime </CODE></PRE> Wed, 16 Apr 2014 05:20:00 GMT https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133011#M36328 bananaman 2014-04-16T05:20:00Z https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133012#M36329 <P>ありがとうございます！</P> Thu, 17 Apr 2014 05:50:31 GMT https://community.splunk.com/t5/Splunk-Search/%E7%89%B9%E5%AE%9A%E3%81%AE%E6%99%82%E9%96%93%E3%81%AEstatus-success%E3%82%88%E3%82%8A%E4%B8%80%E3%81%A4%E5%89%8D%E3%81%AEstatus-success%E3%82%92%E3%81%A8%E3%82%8B%E6%96%B9%E6%B3%95/m-p/133012#M36329 appleman 2014-04-17T05:50:31Z