在本节中,我们将学习如何在 Splunk 中使用时间戳,以及如何借助适当的时间在 Splunk 数据集中搜索更好的结果。
我们使用高级设置最早和最晚的搜索时间。可以写入相对时间表示法,例如-3d@d 。我们键入的 UNIX 的时间值被转换为本地时间。
我们指示的 UNIX 时间或相对时间作为时间戳显示在文本字段下,以便我们检查输入。
Splunk Web 中的时间范围选择器可以根据预设列表中存在的时间范围集进行定制。我们可以建立一个现有的时间范围,或者我们可以屏蔽时间范围。
要构建新的时间段,最好的方法是使用当前时间段作为新时间范围的基础。例如,相对时间段列表包括最后 15 分钟时间范围。我们想建立最后 30 分钟的时间限制。我们首先创建最后 15 分钟时间跨度的副本或克隆。我们将克隆内部的最早设置从 -15 分钟更改为 -30 分钟。在Settings的 Knowledge 列表下,选择User interface选项。
在用户界面窗格中选择时间范围。
找到我们要使用的时间段。
在操作列中,单击克隆。
有一份时间规格的副本。更改时间跨度要求,然后按保存。
新时间范围显示在“相对”列的“预设”菜单中。
预设菜单将创建一个新时间。例如,我们想建立一个时间范围,显示昨天 12:00 到 15:00 的搜索。在最早和最新的字段中,我们将说明相对时间。在扇区中最早我们说-1d@d +12h。我们在最新的部门中说-1d@d +15h。
从设置菜单中,选择知识列表下的用户界面。
在用户界面中,单击时间范围
单击
新建选项。
填写“添加新窗口”部分中的字段,然后单击“保存”
新时间范围显示在“预设”菜单中的“相对”列表中。
在预设列表中隐藏时间范围
从Settings的 Knowledge 列表中,选择User interface。
在用户界面窗口中,选择时间范围。
找到时间范围。我们要隐藏在 Status 列中单击Disable。
在为 REST API 端点或命令行界面 (CLI) 设置时间范围时,我们可以在 times.conf 文件中手动设置时间范围。
如果我们使用 Splunk Cloud 并且想要覆盖某个时间范围或构建一个新的时间范围,请打开支持票证。
在 Search & Reporting 应用程序中,临时搜索的默认时间限制设置为过去 24 小时。跨所有设备的管理员可以全局设置默认时间范围。
我们可以在使用以下时间更改器搜索或保存搜索时确定绝对和相对时间范围:
最早=<时间修饰符>
最新=<时间修饰符>
例如,绝对时间跨度使用从 2020 年 11 月 1 日上午 12 点到 2002 年 11 月 13 日上午 12 点的不同日期和时间。
相对时间段取决于任务何时进行。例如,-60 m 的对应时间段意味着 60 分钟前。任务返回过去 60 分钟或下午 2 点的事件,如果当前时间是今天下午 3 点到下午 3 点...今天。
当前时间被称为“现在”。
我们在搜索栏中或保存的搜索中定义的时间范围会覆盖在时间范围选择器中选择的时间范围。
例如,如果我们在 Time Range Picker 中指定 Last 24 hours 的时间范围,并在 Search 栏中指定 early=-30 m latest = now,则搜索仅查找最近 30 分钟内有时间标记的事件.
这是指我们可以在时间范围选择器中选择的所有选项,但这不适用于子搜索。