×

Join the Conversation

Without signing in, you're just watching from the sidelines. Sign in or Register to connect, share, and be part of the Splunk Community.
Ask a Question
splunklover
Observer
Member since: ‎06-25-2020
‎06-26-2020
Community Statistics
Posts 1
Solutions 0
Karma Given 0
Karma Received 0
Member Since ‎06-25-2020
View All

Props.confで、タイムスタンプに時間修正を加えて_timeに格納できない

by in Getting Data In
‎06-25-2020 09:15 PM
‎06-25-2020 09:15 PM
複数の時間が入っているログから、特定のフィールドのタイムスタンプを一つを選択し、時間を変更した上で、タイムスタンプ(_time)に格納したいのですが、 うまくできません。 例えばログは以下の様なものです。 580 <158>1 2020-06-26T13:03:36+09:00 logforwarder x - - test 1,2020/06/26 04:03:30,no-serial,TRAFFIC,end,2304,2020/06/26 04:03:11,,,,, Splunk上では、2020-06-26T13:03:36+09:00の値が_timeに入っています。 しかし、この値を_timeに格納したいのではなく、上記ログの2020/06/26 04:03:30に+9時間を足した値を_timeとしたいです。 2020/06/26 04:03:30はgenerated_timeというキーに入っています。 Props.confでは以下の処理を定義しましたが、うまくいきませんでした。 EVAL-temptime = strptime(generated_time,"%Y/%m/%d %H:%M:%S") EVAL-temptime2 = strftime(temptime+(32400),"%Y/%m/%d %H:%M:%S") FIELDALIAS-time = temptime2 AS _time Props.confでは上記の様なEVAL処理はできないのでしょうか。 サーチ文としては動作することは確認していて、以下のコマンドでは、正常に_timeにgenerated_timeに+9時間したものが格納されます。 |eval temptime = strptime(generated_time,"%Y/%m/%d %H:%M:%S") | eval _time=strftime(temptime+(32400),"%Y/%m/%d %H:%M:%S") | stats count by _time ... View more
Labels
Contact Me
Online Status
Offline
Date Last Visited
‎06-26-2020 08:25 AM