繁体 English 中英

在 Splunk 查询中对“最早”使用亚秒精度

[英]Use sub-second precision on "earliest" in Splunk query

原文 2020-10-06 19:18:28 6 2 splunk/ splunk-query/ time-precision

我有一个 Splunk 搜索字符串。 如果我添加earliest=10/05/2020:23:59:58 ，搜索字符串仍然有效。 但是，如果我将其更改为 earliest=10/05/2020:23:59:58: 01 ，我会收到一条错误消息，指出时间项的无效值“10/05/2020:23:59:58:01” '最早' . 这是否意味着 Splunk最早的参数精度仅次于第二？ 我在他们的文件中找不到答案。

谢谢！

2 个解决方案

是的， earliest的精度仅限于“标准” Unix 纪元时间（即自 Unix 诞生以来经过的秒数（任意设置为 1970 年 1 月 1 日 00:00:01（或有时，1969 年 12 月 31 日 23:59） :59))) 因为_time字段包含整数seconds 。

Splunk 知道如何以比秒数更精确的方式转换看到的时间戳，但这并不意味着_time本身就拥有它们。

_time ，因此，任何引用它的东西（比如earliest ）都不能理解亚秒级精度。 对于这一点，你需要有一个包含在你的事件另一个领域。

对于毫秒搜索时间，包括 timeformat=%m/%d/%Y:%H:%M:%S:%3N 以及您的 earliest=10/05/2020:23:59:58:01。

如何在查询中使用 Splunk 函数

[英]How to use Splunk functions in the query

如何根据纪元时间而不是人类可读的时间查询splunk的最新和最早时间？

[英]How do i query splunk for latest and earliest time based on epoch time rather than human readable time?

在 Splunk 的搜索查询中使用表中的参数

[英]Use Parameters in Table in Search Query in Splunk

如何忽略Splunk查询中的特定子字符串

[英]How to ignore a specific sub-string from Splunk query

SPLUNK 在第二次搜索中使用第一次搜索的结果

[英]SPLUNK use result from first search in second search

Splunk：如何在一个查询中使用多个正则表达式？

[英]Splunk: How to use multiple regular expressions in one query?

如何在Splunk搜索查询中使用/执行查找列中的位置

[英]How to use/do where in column of a lookup in Splunk Search Query

Splunk Query 更新查询

[英]Splunk Query to update a query

Splunk 将第二个查询结果（字段）带入第一个查询 Linux 主机的百分比 Memory

[英]Splunk to take the second queries result(field) into first query for Percentage Memory of Linux host

R的Splunk查询语言

[英]Splunk query language for R

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在查询中使用 Splunk 函数如何根据纪元时间而不是人类可读的时间查询splunk的最新和最早时间？在 Splunk 的搜索查询中使用表中的参数如何忽略Splunk查询中的特定子字符串 SPLUNK 在第二次搜索中使用第一次搜索的结果 Splunk：如何在一个查询中使用多个正则表达式？如何在Splunk搜索查询中使用/执行查找列中的位置 Splunk Query 更新查询 Splunk 将第二个查询结果（字段）带入第一个查询 Linux 主机的百分比 Memory R的Splunk查询语言

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM