在本节中,我们将学习如何在 Splunk 中使用时间戳,以及如何借助适当的时间在Splunk 数据集中搜索更好的结果。
时间戳的处理是处理事件的关键步骤。计算机 Splunk 使用时间戳来:
按时间划分事件
构建 Splunk 站点时间线直方图
定义搜索的时间限制
Splunk软件将时间戳应用于索引时间事件。时间戳值是使用程序在原始案例数据中找到的信息自动分配的。
有时,Splunk 软件以 Unix 时间表示时间。以这种方式表示的时间显示为一系列数字,例如 1518632124。您可以使用任何 UNIX 时间转换器将 UNIX 时间转换为 GMT 或您的本地时间。
现场时间应为 UNIX 时间。时间字段以人类可读的格式显示在 Splunk Web 的 UI 中。因此,时间字段中的值存储在 UNIX 时间中。
开始新任务的默认时间段是过去 24 小时。此范围有助于避免运行时间范围过长的搜索,这会占用废物系统并产生比我们需要的更多的结果。
无论我们是在运行新的搜索、报告还是仪表板创建,缩小时间范围以调整我们需要的日期或时间都很重要。
时间对于评估哪里出了问题也很关键。当某事发生时,我们总是知道,如果不是准确的话,发生了什么。查看在出现问题的同时发生的事件,将有助于链接调查结果并确定问题的根本原因。
本部分探讨了我们如何利用时间来限制您的搜索,以及我们如何在时间探索中结合事件。
我们正在使用选择器时间刻度来设置搜索的时间限制。我们可以使用预设时间范围限制搜索、创建自定义时间范围、分配基于日期或日期和时间的时间范围,或者使用时间选择器中的高级功能。以下部分描述了这些选项。
注意:如果位于不同的时区,基于时间的搜索将使用 Splunk 实例事件时间戳,该时间戳在数据插入时为数据编制索引。
选择器时间范围包括许多内置时间范围选项,这些选项已在time.conf文件中定义。从实时窗口列表中,您可以选择相对时间范围,然后扫描所有时间。
我们正在使用相对时间范围选项来确定与现在或我们任务的当前时间开始相关的自定义时间段。从时间尺度单位列表中,我们可以选择:Seconds Ago、Minutes Ago等等。
默认情况下,无对齐设置为最早,现在设置为最后。当我们选择最早或最新的捕捉到选项时,时间跨度将捕捉到我们选择的时间框架的开始。例如,如果我们选择 Days Ago,今天将从最早捕捉到的值开始。
当我们做出选择时,字段下方的预览框会更改为时间段。
实时选项允许我们定义一个自定义的最早时间来实时搜索。因为这个时间范围不适合实时任务。
使用搜索中的日期范围选项来确定自定义日历日期。我们可以在事件返回选项之间切换:开始日期和结束日期之间、日期之前和日期之后。
我们可以在这些字段的文本框中输入日期,或者从日历中选择日期。
我们还可以使用日期和时间范围选项来确定我们的搜索开始和结束自定义日历日期和时间。
我们可以在文本框中输入日期,或者从日历中选择日期。
