0

同一id下的事件的当前状态

我试图通过评估案例(只能管理一个事件)而不是同一进程下的所有事件来添加状态。

|eval Status = case (eventId="endProcess"  ,"Completed" ,eventId="error","Terminated") 
|stats earliest(when) AS startTime latest(when) AS endTime by mainprocessname ,resourceName , Status 
|eval startTime = strftime( strptime( startTime, "%Y-%m-%dT%H:%M:%S.%7NZ"), "%Y-%m-%d %H:%M:%S")
|eval endTime = strftime( strptime( endTime, "%Y-%m-%dT%H:%M:%S.%7NZ"), "%Y-%m-%d %H:%M:%S")

|table startTime, endTime , mainprocessname,resourceName, Status

我现在的结果

startTime   endTime    mainprocessname  resourceName       Status
2019-08-16 06:15:16 2019-08-16 06:15:16 03 - SSam Scott    Completed

我想得到什么不同的时间(但我得到完全相同的时间,因为它是按状态而不是事件分组)任何提示以获取整个过程的状态

4

1 回答 1

0

如果您想要最新状态,请不要按状态分组。用这个替换stats命令:

|stats earliest(when) AS startTime latest(when) AS endTime latest(Status) as Status by mainprocessname ,resourceName
于 2019-08-16T14:36:46.117 回答