Splunk Enterprise:排除某些时间范围以获得更大的时间范围
Splunk Enterprise: Exclude certain time ranges for a bigger time range
我想知道是否有可能在给定时间段内排除某些时间范围?我有一个搜索公式,然后我选择了日期选择器,但想知道我是否可以在我已经选择的范围内过滤掉特定的时间范围?
或者是从日期选择器菜单进行多次搜索的唯一出路?
非常感谢
按照您描述的方式过滤时间的方法是将其直接放入 SPL,而不是使用 earliest 和 latest
的时间选择器
例如:
index=ndx sourcetype=srctp ((earliest=-24d latest=-20d) OR (earliest=-10d latest=-6d)
| <rest of SPL>
我想知道是否有可能在给定时间段内排除某些时间范围?我有一个搜索公式,然后我选择了日期选择器,但想知道我是否可以在我已经选择的范围内过滤掉特定的时间范围?
或者是从日期选择器菜单进行多次搜索的唯一出路?
非常感谢
按照您描述的方式过滤时间的方法是将其直接放入 SPL,而不是使用 earliest 和 latest
例如:
index=ndx sourcetype=srctp ((earliest=-24d latest=-20d) OR (earliest=-10d latest=-6d)
| <rest of SPL>