Изменить день с начала недели в ведро в Splunk

Question

Я запускаю этот запрос в splunk, который ведёт данные в еженедельном режиме на основе поля «impact_start» и дает мне результат. Но проблема в том, что начало недели на выходе - четверг, а не понедельник.

Есть ли способ изменить начало недели на понедельник вместо четверга?

search index=* impact=1 OR impact=2 product_line=* | eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0)| where time >= 1473328728 AND time<=1476352728| bucket time span=7d | stats values(number) as incident_name by time 

Answer 1

Вам повезло - Если вы посмотрите на STRFTIME спецификации, понедельник считается началом недели http://strftime.org/

Таким образом, вы можете попробовать это: (непроверенные)

index=* impact=1 OR impact=2 product_line=* 
| eval time = round(strptime(impact_start,"%Y-%m-%d %H:%M:%S"), 0) 
| where time >= 1473328728 AND time<=1476352728 
| eval week = strftime(impact_start,"%Y %w") 
| stats values(number) as incident_name by week