我有一个名为“impact_time”的字段,其中包含人类可读日期。现在我想查询splunk以获得一系列的impact_time。唯一的问题是我所拥有的最早和最晚的时间是以纪元格式。如何基于我传递的纪元时间范围进行splunk查询?
您需要的是一个名为impact_time的字段范围内的数据,请尝试在搜索中直接使用它。
index=...
| search impact_time>[specific time to start] AND impact_time<[specific time to end] | ...
假设,您需要在字段中的某些特定数据范围之间发生事件,这恰好是时间。
您需要将impact_time从人类可读转换为时代,例如
... | eval impact_time_epoch=strptime(impact_time, "%Y-%m-%d %H:%M:%S)
然后,您可以使用where命令过滤所需的范围
EG
... | where impact_time_epoch >= EARLIEST impact_time_epoch <= LATEST