Поле "duration" время больше 23:59:59

artem33region · April 16, 2020, 12:51pm

Всем привет!
Есть поле "duration" в него преобразуется UNIXTIME, но если UNIXTIME больше 86400, то один день не учитывается.
Например, если UNIXTIME 86407, то в "duration " запишется 00:00:07.

Вот код который преобразует:

      if "ise" in [tags] and "Session" in [tags] and  [Acct_Session_Time] {
        date {
          match => [ "Acct_Session_Time", "UNIX" ]
          target => "Duration_temp"
        }
        ruby {
          code => "
            event.set('Duration', event.get('Duration_temp').time.strftime('%H:%M:%S'))
            event.set('Session_start', (event.get('@timestamp') - event.get('Duration_temp')))
            "
        }
        date {
          match => [ "Session_start", "UNIX" ]
          target => "Session_start_date"
        }
      }

Пробовал писать в формате '%d %H:%M:%S', тогда если UNIXTIME меньше 86400, например 3600, тогда будет 01 01:00:00, а нужно 00 01:00:00.

Подскажите, может как то можно сделать учет дней?

Igor_Motov · April 16, 2020, 1:05pm

Поделить duration на 86400 с остатком, остаток отформатировать с помошью strftime, а неполное частное использовать для форматировния количества дней, если оно не нулевое?

system · May 14, 2020, 1:05pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Конвертирование числа в миллисекунды Вопросы на русском языке	8	660	December 31, 2019
Объединение полей Вопросы на русском языке	3	530	March 27, 2020
Перевод поля времени в timestamp Вопросы на русском языке	2	506	August 14, 2019
Конвертировать дату из формата ISO8601 в UNIXTIME Вопросы на русском языке	6	599	December 9, 2019
Duration Time между двумя разными Events Вопросы на русском языке	7	428	November 11, 2019

Поле "duration" время больше 23:59:59

Related topics