728x90
반응형
프로젝트를 하다보면 고객사의 상황에 따라 데이터가 많이 없는 경우
검색식이 맞게 작성되었는지 검증하기가 어려운 경우가 있다.
그런 경우 임시 데이터를 직접 splunk command만으로 만들 수가 있다.
| | makeresults count=30 | bin span=1d _time | streamstats count | eval _time = _time - (count*86400) | fields - count | eval a=round(random()/10000000), username="haley" | eval b=case(a>200,a-200, a>100, a-100, true(), a) | sort - b |
[ STEP 1 ] makeresults count = 30
다음과 같이 30개의 이벤트가 생기고 _time이 검색 시간으로 정해진다.
[ STEP 2 ] | bin span=1d _time
시간이 일자를 기준으로 잘린다.
[ STEP 3 ] | streamstats count
streamstats는 누적 요약 통계를 스트리밍 방식으로 추가한다.
따라서 count가 1씩 증가하는 것을 알 수 있다.
[ STEP 4 ] | eval _time = _time - (count*86400)
eval 문으로 _time을 하루치 씩 빼주면 하루 차이가 나는 _time 완성!!...
[ STEP 5 ] 원하는 쿼리로 데이터를 커스터마이징 해주면 됨!
728x90
반응형
'Splunk > Splunk Search' 카테고리의 다른 글
| [ Splunk Search ] 시간 별 top 5 서비스 골라서 timechart로 표현하기 (0) | 2024.07.10 |
|---|---|
| [ Splunk Search : 사용 사례 ] 어제와 오늘 데이터 분 단위로 비교하기 (0) | 2024.04.18 |
| [ Splunk Search : 사용 사례 ] 생성한 saved search 정보 검색하기 (0) | 2024.03.26 |
| [ Splunk Search ] 주식 프로젝트에 사용된 명령어 분석하기 (0) | 2023.06.23 |
