Splunkのバケットで週が始まる日を変更してください

Question

私はsplunkでこのクエリを実行しています。このクエリは、 "impact_start"フィールドに基づいて週単位でデータをバケット化して出力します。しかし問題は、月曜日ではなく、週の開始が木曜日であることです。

木曜日ではなく月曜日に週の開始を変更する方法はありますか？

search index=* impact=1 OR impact=2 product_line=* | eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0)| where time >= 1473328728 AND time<=1476352728| bucket time span=7d | stats values(number) as incident_name by time 

Answer 1

あなたは運がいい - あなたはstrftimeのスペックを見れば、月曜日を週の開始 http://strftime.org/

考えられているので、あなたはこの試みることができる：

index=* impact=1 OR impact=2 product_line=* 
| eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0) 
| where time >= 1473328728 AND time<=1476352728 
| eval week = strftime(impact_start,"%Y %w") 
| stats values(number) as incident_name by week 

（未テスト）を