Splunk에서 버킷으로 시작되는 요일을 변경하십시오.

Question

스플래크에서 "impact_start"필드를 기반으로 매주 데이터를 버킷 화하고 출력을 제공하는이 쿼리를 실행하고 있습니다. 그러나 문제는 월요일에보다는 목요일에 출력이 시작된다는 것입니다.

목요일 대신 월요일로 주 시작을 변경할 수있는 방법이 있습니까?

search index=* impact=1 OR impact=2 product_line=* | eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0)| where time >= 1473328728 AND time<=1476352728| bucket time span=7d | stats values(number) as incident_name by time 

Answer 1

당신은 행운에있어 - 당신은 strftime 사양을 보면, 월요일 http://strftime.org/

그래서 당신이 시도 할 수있는 일주일의 시작으로 간주됩니다 : (안된)

index=* impact=1 OR impact=2 product_line=* 
| eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0) 
| where time >= 1473328728 AND time<=1476352728 
| eval week = strftime(impact_start,"%Y %w") 
| stats values(number) as incident_name by week