Ich habe ein Feld namens "impact_time", das menschenlesbare Daten enthält. Jetzt möchte ich Splunk für einen Bereich von impact_time abfragen. Das einzige Problem ist, dass die früheste und späteste Zeit, die ich habe, im Epochformat ist. Wie mache ich eine Splunk-Abfrage basierend auf dem Epochen-Zeitbereich, den ich überlasse?Wie frage ich Splunk für späteste und früheste Zeit basierend auf Epoch Times anstatt von Menschen lesbar Zeit?
wie Sie benötigen, ist die Daten innerhalb eines Bereichs eines Feldes, namens impact_time, versuchen Sie es direkt in einer Suche verwenden. Wenn Sie annehmen, dass Sie Ereignisse zwischen einem bestimmten Bereich von Daten in einem Feld benötigen, was zufällig die Zeit ist.
Sie müssen impact_time von Mensch lesbar in Epoche z.
... | eval impact_time_epoch=strptime(impact_time, "%Y-%m-%d %H:%M:%S)
Dann können Sie den Befehl verwenden, wo für den Bereich filtern müssen Sie
Z.B.
... | where impact_time_epoch >= EARLIEST impact_time_epoch <= LATEST