小ネタ
Slackで投稿したので忘れないうちに
move_up_time.spl
index=_internal | head 100
| stats min(_time) as start max(_time) as end
| appendpipe [ eval time=relative_time(end,"+1h@h")]
| eval _time=coalesce(time,start)
| makecontinuous _time span=1h
| start | end | _time | count | time |
|---|---|---|---|---|
| 2020/07/23 20:00:00.000 | ||||
| 1595503130.524 | 1595503142.065 | 2020/07/23 20:18:50.523 | 1 | |
| 1595503130.524 | 1595503142.065 | 2020/07/23 21:00:00.000 | 2 | 1595505600.000000 |
binやmakecontinuousは直近の時間は作ってくれる。この場合はcountがnullのところ。
だけど、繰り上がった時間は作ってくれない。
addinfoが使えるかなと思ったけど、検索期間が全時間だとinfo_min_timeが0でinfo_max_timeが+infinityだった
appendpipeは直前の結果から、引き続きクエリーを追加できるので、この場合は使い勝手がよかった。
ステータスの変化をtimechartするときなどは使うかもしれません。