在 Splunk 查询中对 "earliest" 使用亚秒精度
Use sub-second precision on "earliest" in Splunk query
我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58,搜索字符串仍然有效。但是,如果我将其更改为 earliest=10/05/2020:23:59:58:01,我会收到一条错误消息,显示 无效值“10/05 /2020:23:59:58:01" 对于时间项 'earliest'。这是否意味着 Splunk 的 earliest 参数的精度仅次于第二?我在他们的文档中找不到答案。
谢谢!
是的,earliest's precision is limited to "standard" Unix epoch time (ie the number of elapsed seconds since the dawn of Unix (arbitrarily set to 01 Jan 1970 00:00:01 (or, sometimes, 31 Dec 1969 23:59:59))) because the _time 字段包含整数 秒。
Splunk 知道如何 convert timestamps 以 更 的精度查看,但这并不意味着 _time 本身就拥有它们。
_time,因此,任何引用它的东西(如 earliest)都无法理解亚秒精度。对于 that,您需要在活动中包含另一个字段。
我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58,搜索字符串仍然有效。但是,如果我将其更改为 earliest=10/05/2020:23:59:58:01,我会收到一条错误消息,显示 无效值“10/05 /2020:23:59:58:01" 对于时间项 'earliest'。这是否意味着 Splunk 的 earliest 参数的精度仅次于第二?我在他们的文档中找不到答案。
谢谢!
是的,earliest's precision is limited to "standard" Unix epoch time (ie the number of elapsed seconds since the dawn of Unix (arbitrarily set to 01 Jan 1970 00:00:01 (or, sometimes, 31 Dec 1969 23:59:59))) because the _time 字段包含整数 秒。
Splunk 知道如何 convert timestamps 以 更 的精度查看,但这并不意味着 _time 本身就拥有它们。
_time,因此,任何引用它的东西(如 earliest)都无法理解亚秒精度。对于 that,您需要在活动中包含另一个字段。