Как написать запрос Splunk, чтобы получить время первого и последнего запроса для каждого источника, а также количество каждого источника в выводе таблицы

У меня есть следующие данные таблицы Splunk из выходных данных запроса Splunk.

Source        RequestTime
SourceX     10/07/2020 04:03 AM  
SourceX     10/07/2020 07:15 AM 
SourceX     10/07/2020 11:19 AM
SourceY     10/07/2020 09:13 AM
SourceY     10/07/2020 11:09 AM
SourceY     10/07/2020 03:29 PM 
SourceY     10/07/2020 07:08 PM 
SourceZ     10/07/2020 09:43 AM 
SourceZ     10/07/2020 01:44 PM
SourceZ     10/07/2020 07:08 PM
SourceZ     10/07/2020 08:09 PM

Пожалуйста, помогите мне получить результат в формате таблицы ниже.

Source    SourceCount     StartTime              EndTime
SourceX      3         10/07/2020 04:03 AM    10/07/2020 11:19 AM 
SourceY      4         10/07/2020 09:13 AM    10/07/2020 07:08 PM 
SourceZ      4         10/07/2020 09:43 AM    10/07/2020 08:09 PM

splunk splunk-query
person Mahi    schedule 07.10.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это может сделать команда stats.

... | stats count as SourceCount, min(RequestTime) as StartTime, max(RequestTime) as EndTime by Source
person RichG    schedule 07.10.2020
comment
min() и max() не работают с текстом. Поле RequestTime должно быть преобразовано в форму эпохи, чтобы сделать мин / макс. Я предполагаю, что поле - это текст, но мы этого не знаем, поскольку запрос, создавший примерную таблицу, не использовался совместно. - person RichG; 07.10.2020