概要
表題そのまま
検証
SPL
| makeresults
| eval time=_time-1.000000000
| eval Time=strftime(time,"%Y-%m-%dT%H:%M:%S.%9Q")
| eval dur = _time - time
いつものmakeresultsから、自動的に__time_が作られるので1秒前の時間を_time_として
_TIME_を見やすい形で作る。
_dur_で差分確認
結果
_time_がepochになっているのがよくわかり、差分である_dur_も9桁・ナノセコンドを表せてる。
実験
SPL
| eval dur2 =_time - Time
_dur2_がでない。
SPL
| makeresults
| eval time=_time-1.000000000
| fieldformat Time=strftime(time,"%Y-%m-%dT%H:%M:%S.%9Q")
| eval dur = _time - time
| eval dur2 = _time - Time
evalじゃなきゃいけるかとおもったらダメだった。
結言
__time_の中はepochなのでevalとかで他のフィールドに代入しちゃうと人間がよくわからない値になっちゃうけど、計算はそのままやってしまわないといけないってことですね。
convertとかrelative_timeとか。
Rみたく、$date1 - $date2 で差分が綺麗にでてくれないかしら