Splunk 时间范围搜索

 

Splunk 网络界面显示时间线,表明事件在一段时间内的分布。有预设的时间间隔,您可以从中选择特定的时间范围,也可以根据需要自定义时间范围。

下面的屏幕显示了各种预设时间线选项。选择这些选项中的任何一个都将仅获取特定时间段的数据,您也可以使用可用的自定义时间线选项进一步分析这些数据。

时间范围搜索1

例如,选择上个月选项只会为我们提供上个月的结果,您可以在下面的时间轴图表中看到分布范围。

时间范围搜索2

 

选择时间子集

通过在时间轴中的条形上单击并拖动,我们可以选择已经存在的结果子集。这不会导致重新执行查询。它只从现有结果集中过滤掉记录。

下图显示了从结果集中选择的一个子集:

时间范围搜索3

 

最早和最新

在搜索栏中可以使用最早和最晚这两个命令来指示过滤结果的时间范围。它类似于选择时间子集,但它是通过命令而不是单击特定时间线栏的选项。因此,它可以更好地控制您可以选择用于分析的数据范围。

时间范围搜索4

在上图中,我们给出了过去 7 天到过去 15 天之间的时间范围。因此,显示这两天之间的数据。

 

附近活动

我们还可以通过提及我们希望过滤掉事件的接近程度来查找特定时间附近的事件。我们可以选择间隔的比例,例如-秒、分钟、天和周等。

 当您运行搜索查询时,结果将作为作业存储在 Splunk 服务器中。虽然此作业是由一个特定用户创建的,但它可以与其他用户共享,以便他们可以开始使用此结果集,而无需再次为其构建查询。还可以将结果导出并保存为文 ...