如何在 Splunk 中搜索每一天的给定时间范围?
How to search a given time range for every day in Splunk?
我正在尝试在 Splunk 中搜索在特定时间范围内发生的事件,但我希望该搜索包含我已编制索引的涵盖广泛日期范围的所有数据。
例如,我想查看索引日志文件中的一行是否包含我索引的 25 天日志中上午 9 点到下午 4 点之间的单词 'Error'。如果单词 'Error' 出现在该时间范围之外,我不希望它显示在我的搜索结果中。
对于 date/time 格式,我使用 mm/dd/yyyy:hh:mm:ss
有什么想法可以解决这个问题吗?
您可以尝试这样的搜索:
index=foo earliest=-25d (date_hour > 9 and date_hour < 16) "Error"
虽然选择的答案很好,但它在我的情况下不起作用(splunk v6),但这确实起作用(主要是添加 | eval date_hour...)
和我的完整工作搜索(在早上 6 点到晚上 11 点之间,对于前 25 天的 每个):
index=mymts 最早=-25d |评估 date_hour=strftime(_time, "%H") |搜索 date_hour>=6 date_hour<=23 host="172.17.172.1" "/netmap/*"
希望这对其他人有帮助。
我正在尝试在 Splunk 中搜索在特定时间范围内发生的事件,但我希望该搜索包含我已编制索引的涵盖广泛日期范围的所有数据。
例如,我想查看索引日志文件中的一行是否包含我索引的 25 天日志中上午 9 点到下午 4 点之间的单词 'Error'。如果单词 'Error' 出现在该时间范围之外,我不希望它显示在我的搜索结果中。
对于 date/time 格式,我使用 mm/dd/yyyy:hh:mm:ss
有什么想法可以解决这个问题吗?
您可以尝试这样的搜索:
index=foo earliest=-25d (date_hour > 9 and date_hour < 16) "Error"
虽然选择的答案很好,但它在我的情况下不起作用(splunk v6),但这确实起作用(主要是添加 | eval date_hour...)
和我的完整工作搜索(在早上 6 点到晚上 11 点之间,对于前 25 天的 每个):
index=mymts 最早=-25d |评估 date_hour=strftime(_time, "%H") |搜索 date_hour>=6 date_hour<=23 host="172.17.172.1" "/netmap/*"
希望这对其他人有帮助。