Получить данные предыдущего сеанса на основе фильтра сеанса Splunk

У меня проблема с splunk, например, если я выберу текущий сеанс (2020) из фильтра, я должен получить данные предыдущего сеанса (2019).

Я написал splunk-запрос вроде:

index="entab_due" Session=2019 ClassName="* *"
| eval n=(tonumber(Session)-1)
| where totalBalance > 0 and Session = n

но я не получил никакого результата.

Проблема: получить данные предыдущего сеанса после выбора сеанса из фильтра

Пожалуйста, помогите мне найти решение.


splunk splunk-query
person shiva    schedule 31.08.2020    source источник
comment
Если указать Session=2019 в базовом запросе, результаты будут содержать только те события, для которых указано 2019 в поле Session. Не будет событий с 2018, поэтому запрос не выполняется. Если вы хотите найти 2018 год, введите 2018 в фильтр.   -  person RichG    schedule 31.08.2020
comment
Я не могу этого сделать, потому что некоторые панели на этой панели инструментов будут работать так же, как и в 2019 году, они будут обрабатывать данные за 2019 год. Я не использую базовую модель запроса, я использую запрос сравнения для панели сравнения. Любое другое решение?   -  person shiva    schedule 31.08.2020
comment
базовый запрос имеет два значения. Один из них является частью запроса перед первым конвейером, а другой - первым поиском на панели мониторинга, который использует постобработку.   -  person RichG    schedule 31.08.2020

Ответы (1)


arrow_upward
0
arrow_downward

Если для двух разных панелей на вашей панели инструментов нужны разные данные, вероятно, им следует использовать разные поисковые запросы. Или используйте базовый поиск, который собирает данные, необходимые для обоих, и используйте постобработку для фильтрации данных, необходимых для каждой панели.

person RichG    schedule 31.08.2020