1

過去 4 か月のタイムチャートを取得するにはどうすればよいですか? 以下のクエリを試してみましたが、3 月、4 月、5 月、6 月のみのような過去 4 か月の固定データが得られます。

PFBはクエリを試みました..

index=foo earliest=-1mon@mon latest=-0mon@mon Technology="Sourcefire" 
| timechart span=1day count AS JUN-2020 
| appendcols [search index=SI earliest=-2mon@mon latest=-1mon@mon Technology="Sourcefire" 
  | timechart span=1day count AS MAY-2020] 
| appendcols [search index=SI earliest=-3mon@mon latest=-2mon@mon Technology="Sourcefire" 
  | timechart span=1day count AS APR-2020] 
| appendcols [search index=SI earliest=-4mon@mon latest=-3mon@mon Technology="Sourcefire" 
  | timechart span=1day count AS MAR-2020] 
| table _time JUN-2020 MAY-2020 APR-2020 MAR-2020

また、過去4週間のデータを取得するのを手伝ってもらえますか..以下を試しましたが、機能していません..

index=Foo earliest=-1w@w1 latest=-0w@w1 
| timechart span=1hour count by  RuleAction  
| appendcols [search index=FOO_1 | timechart span=1hour count by blocked ]
  appendcols [search index=Foo earliest=-2w@w1 latest=-1w@w1 
| timechart span=1hour count by  RuleAction 
| appendcols [search index=FOO_1  
| timechart span=1hour count by blocked ]
 appendcols [search index=Foo earliest=-3w@w1 latest=-2w@w1 
  | timechart span=1hour count by  RuleAction 
  | appendcols [search index=FOO_1  
  | timechart span=1hour count by blocked ]
 appendcols [search index=FOO earliest=-4w@w1 latest=-3w@w1 
| timechart span=1hour count by  RuleAction 
| appendcols [search index=ngss*_sourcefire_seceventFOO_1 
  | timechart span=1hour count by blocked ]
4

1 に答える 1