Splunk Search
×

Are you a member of the Splunk Community?

Sign in or Register with your Splunk account to get your questions answered, access valuable resources and connect with experts!
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

カスタム時間で指定した時間からさらに時間を指定する方法

appleman
Contributor
‎08-13-2013 02:17 AM

サーチをする際に、カスタム時間で時間を指定し(○月○日の断面等)、出た結果に対し、更にそれから1週間前のデータと比べるサーチ文をご教授下さい。

sourcetype=A | stats count by host | append [search earliest=-7d@w0 latest=@w0 sourcetype=A | stats count by host]

上記のサーチではappend前のサーチはカスタム時間を、append以下のサーチでは単純に指定した時間でサーチをしてしまっていて、カスタム時間を読み取ってくれませんでした。

Tags (3)
0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

melonman
Motivator
‎08-13-2013 07:57 PM

通常のサーチ画面だと、うまくearliest/latestをサブサーチとメインサーチで共有できないので、Viewをつかうか、Macroを使うかして、任意の1日と、任意の日から1週間前や1日前などの過去の1日との比較を行うとなんとなく、それっぽいものができそうです。

例えば、以下の様なダッシュボードを、すこし編集すれば、いけそうですが、、、
どうでしょうか。

alt text

<?xml version='1.0' encoding='utf-8'?>
<form>
  <label>P1</label>
  <fieldset>
    <input type="text" token="date">
      <label>Specify the Date (YYYY/MM/DD)</label>
      <default>2013/08/10</default>
      </input>    
    <input type="dropdown" token="past">
        <label>Past</label>
        <choice value="-1d">-1 day</choice>
        <choice value="-1w">-1 week</choice>
        <choice value="-1mon">-1 month</choice>
        <choice value="-1year">-1 year</choice>
        <default>-1 week</default>
      </input>    
  </fieldset>
  <row>
    <table>
      <title>Selected Data</title>
        <searchString>

[| stats count | eval earliest=strptime("$date$","%Y/%m/%d") | eval latest=relative_time(earliest, "+1d") | return earliest latest ] | stats count by host | eval tag="$date$" | append [ search [ | stats count |  eval earliest=relative_time(strptime("$date$","%Y/%m/%d"),"$past$") | eval latest=relative_time(earliest, "+1d")  | return earliest latest ] | stats count by host | eval tag=strftime(relative_time(strptime("$date$","%Y/%m/%d"),"$past$"),"%Y/%m/%d") ] | xyseries host tag count

      </searchString>
    </table>
  </row>
</form>

View solution in original post

Reply
Solved! Jump to solution

HiroshiSatoh
Champion
‎08-13-2013 10:04 PM

私もダッシュボードでやることに賛成ですが、serch文で無理やり編集してみました。
appendが逆になりますがデータはうまく抽出できていると思います。

sourcetype=A [| stats count |addinfo |eval earliest=relative_time(info_min_time,"-7d@d") | eval latest=relative_time(info_min_time, "-6d@d") | return earliest latest ]|stats count by host|append [search sourcetype=A |stats count by host]

Reply
Solved! Jump to solution

appleman
Contributor
‎08-16-2013 12:21 AM

ご回答ありがとうございます。サーチで試してみます。

0 Karma
Reply
Solved! Jump to solution
Solution

melonman
Motivator
‎08-13-2013 07:57 PM

通常のサーチ画面だと、うまくearliest/latestをサブサーチとメインサーチで共有できないので、Viewをつかうか、Macroを使うかして、任意の1日と、任意の日から1週間前や1日前などの過去の1日との比較を行うとなんとなく、それっぽいものができそうです。

例えば、以下の様なダッシュボードを、すこし編集すれば、いけそうですが、、、
どうでしょうか。

alt text

<?xml version='1.0' encoding='utf-8'?>
<form>
  <label>P1</label>
  <fieldset>
    <input type="text" token="date">
      <label>Specify the Date (YYYY/MM/DD)</label>
      <default>2013/08/10</default>
      </input>    
    <input type="dropdown" token="past">
        <label>Past</label>
        <choice value="-1d">-1 day</choice>
        <choice value="-1w">-1 week</choice>
        <choice value="-1mon">-1 month</choice>
        <choice value="-1year">-1 year</choice>
        <default>-1 week</default>
      </input>    
  </fieldset>
  <row>
    <table>
      <title>Selected Data</title>
        <searchString>

[| stats count | eval earliest=strptime("$date$","%Y/%m/%d") | eval latest=relative_time(earliest, "+1d") | return earliest latest ] | stats count by host | eval tag="$date$" | append [ search [ | stats count |  eval earliest=relative_time(strptime("$date$","%Y/%m/%d"),"$past$") | eval latest=relative_time(earliest, "+1d")  | return earliest latest ] | stats count by host | eval tag=strftime(relative_time(strptime("$date$","%Y/%m/%d"),"$past$"),"%Y/%m/%d") ] | xyseries host tag count

      </searchString>
    </table>
  </row>
</form>
Reply
Solved! Jump to solution

appleman
Contributor
‎08-15-2013 10:25 PM

ご回答ありがとうございます。このやり方で、sourcetype等を指定する場合は、サーチのどこで指定すればよろしいのでしょうか。
[| stats...の前にsourcetype=Aと指定したのですが、ダッシュボード上では読み取らず、"The job appears to have expired or has been canceled. Splunk could not retrieve data for this search."というメッセージが表示されました。

0 Karma
Reply
Solved! Jump to solution

linu1988
Champion
‎08-13-2013 04:01 AM

Could you try:

SourceType = A | stats count by host | append [search SourceType=A earliest = -1w@w latest =@w0 | stats count by host]

0 Karma
Reply
Solved! Jump to solution

melonman
Motivator
‎08-13-2013 03:30 AM

指定した1日分と、1週間前の日の1日分のStats count by hostの結果をくらべるということですね?

0 Karma
Reply
Get Updates on the Splunk Community!

.conf25 Community Recap

Hello Splunkers, And just like that, .conf25 is in the books! What an incredible few days — full of learning, ...

Splunk App Developers | .conf25 Recap & What’s Next

If you stopped by the Builder Bar at .conf25 this year, thank you! The retro tech beer garden vibes were ...

Congratulations to the 2025-2026 SplunkTrust!

Hello, Splunk Community! We are beyond thrilled to announce our newest group of SplunkTrust members!  The ...