Извлечение временного поля эпохи в splunk

Как мы можем написать регулярное выражение или извлечение поля для журналов ниже? Поле - это начало и конец, где значение находится в формате эпохи, и я хочу изменить его в удобочитаемом формате.

cs7=45.45 cs7Label=latitude cs8=28.05 cs8Label=longitude Customer=Romania-UPC start=1604484735041 request=scoala.bibliotecapemobil.ro/download.php ref=https://scoala.bibliotecapemobil.ro/893/borgia requestMethod=GET qstr=book_id\=893&user_id\=&download\=pdf cn1=200 app=HTTPS act=REQ_PASSED deviceExternalId=37982221230540227 sip=195.191.47.151 spt=443 in=45 xff=82.208.137.89 cpt=62542 src=82.208.137.89 ver=TLSv1.3 TLS_AES_128_GCM_SHA256 end=1604484735097

splunk splunk-query splunk-calculation
person Supriya Sharma    schedule 05.11.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Извлечение поля во время поиска может быть выполнено с помощью команды extract.

... | extract pairdelim=" " kvdelim="=" | ...

Преобразуйте поле времени, используя strptime().

... | eval start=strptime(start, "%s%3N")

Извлечение поля во время индекса должно быть автоматическим, но попробуйте эти настройки props.conf как для извлечения, так и для обработки времени.

[mysourcetype]
TIME_PREFIX = start=
TIME_FORMAT = %s%3N
MAX_TIMESTAMP_LOOKAHEAD = 13
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
KV_MODE = auto
person RichG    schedule 05.11.2020
comment
спасибо Рич .. но я хотел изменить это в удобочитаемый формат .. - person Supriya Sharma; 05.11.2020
comment
Без проблем. Используйте для этого strftime(). ... | eval startstr=strftime(strptime(start, "%s%3N"), "%c"). - person RichG; 05.11.2020
comment
также могу ли я получить часовой пояс эпохи, такой как CEST, GMT? - person Supriya Sharma; 09.11.2020
comment
Чтобы получить миллисекунды, просто измените строку формата. См. Справочное руководство по поиску, чтобы узнать, как писать строки формата. ... | eval startstr=strftime(strptime(start, "%s%3N"), "%Y-%m-%dT%H:%M:%S.%3N%Z") - person RichG; 09.11.2020
comment
Splunk преобразует временные метки в UTC при их загрузке и преобразует их в отображаемый часовой пояс, предпочитаемый пользователем. - person RichG; 09.11.2020
comment
большое спасибо Rich за вашу быструю помощь .. он работает отлично .. - person Supriya Sharma; 12.11.2020