我正在尝试搜索 Splunk 中特定时间范围内发生的事件,但我希望该搜索涵盖我已索引的所有数据,这些数据涵盖了广泛的日期范围。
例如,我想查看索引日志文件中的一行是否在我已索引的 25 天日志中的上午 9 点到下午 4 点之间包含“错误”一词。如果“错误”一词出现在该时间范围之外,我不希望它显示在我的搜索结果中。
对于日期/时间格式,我使用 mm/dd/yyyy:hh:mm:ss
我有什么想法可以解决这个问题吗?
您可以尝试这样的搜索:
index=foo earliest=-25d (date_hour > 9 and date_hour < 16) "Error"
虽然所选的答案很棒,但它在我的情况下不起作用(splunk v6),但是这确实有效(主要是添加 | eval date_hour...)
以及我的完整工作搜索(上午 6 点至晚上 11 点之间,前 25 天的每一):
index=mymts 最早=-25d |评估 date_hour=strftime(_time, "%H") |搜索日期_小时>=6 日期_小时<=23 host="172.17.172.1" "/netmap/*"
希望这对其他人有帮助。