過去 4 か月のタイムチャートを取得するにはどうすればよいですか? 以下のクエリを試してみましたが、3 月、4 月、5 月、6 月のみのような過去 4 か月の固定データが得られます。
PFBはクエリを試みました..
index=foo earliest=-1mon@mon latest=-0mon@mon Technology="Sourcefire"
| timechart span=1day count AS JUN-2020
| appendcols [search index=SI earliest=-2mon@mon latest=-1mon@mon Technology="Sourcefire"
| timechart span=1day count AS MAY-2020]
| appendcols [search index=SI earliest=-3mon@mon latest=-2mon@mon Technology="Sourcefire"
| timechart span=1day count AS APR-2020]
| appendcols [search index=SI earliest=-4mon@mon latest=-3mon@mon Technology="Sourcefire"
| timechart span=1day count AS MAR-2020]
| table _time JUN-2020 MAY-2020 APR-2020 MAR-2020
また、過去4週間のデータを取得するのを手伝ってもらえますか..以下を試しましたが、機能していません..
index=Foo earliest=-1w@w1 latest=-0w@w1
| timechart span=1hour count by RuleAction
| appendcols [search index=FOO_1 | timechart span=1hour count by blocked ]
appendcols [search index=Foo earliest=-2w@w1 latest=-1w@w1
| timechart span=1hour count by RuleAction
| appendcols [search index=FOO_1
| timechart span=1hour count by blocked ]
appendcols [search index=Foo earliest=-3w@w1 latest=-2w@w1
| timechart span=1hour count by RuleAction
| appendcols [search index=FOO_1
| timechart span=1hour count by blocked ]
appendcols [search index=FOO earliest=-4w@w1 latest=-3w@w1
| timechart span=1hour count by RuleAction
| appendcols [search index=ngss*_sourcefire_seceventFOO_1
| timechart span=1hour count by blocked ]