Splunk を介してアプリケーション ログを構成しましたが、次のことを行いたいと考えています。
- 文字列が今日の日付の場合にイベントを取得する
- 文字列に明日の日付がある場合にイベントを取得します。
#1 について以下のようにクエリを記述しようとしましたが、何も返されないようです
REGAVAIL | eval Date=strftime(strptime(Date, "%m%d%Y"), "%m%d%Y") | where Date>= strftime(now(), "%m%d%Y")
私の検索文字列は REGAVAIL で、すべてのイベントは以下の形式です -
REGAVAIL|00958645030|8871|1|61745|01262017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F レガベイル|00958647200|8871 |1|61745|01282017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F レガベイル|00958649200|8871|1|61745| 01292017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F
最初に日付を抽出したい - 01262017 そして、今日の日付と比較します。一致が見つかった場合、そのイベントを考慮する必要があります。
どんな助けでも大歓迎です!