splunk letzte Ereignis für jeden Host

Question

Ich versuche, das letzte Ereignis Zeitstempel für jeden Host, Google-Suche unten gefunden zu bekommen:

| Metadatentyp = Hosts | Tabelle host, lastTime

es scheint funktioniert, gab den Host und den Zeitstempel, aber der Zeitstempel ist eine große Ganzzahl, wie konvertiere ich auf lokale Zeit?

auch wie kann ich es filtern, so dass es nur bestimmte Hosts zurückgeben?

Danke.

Answer 1

Für die Zeit Formatierung - versuchen, diesen Beitrag: Splunk convert extracted field in currently milliseconds to HH:MM:SS

Für die Host-Suche - Sie sollten in der Lage sein | Suche Host = XXXX