簡體 English 中英

在 Splunk 查詢中對“最早”使用亞秒精度

[英]Use sub-second precision on "earliest" in Splunk query

原文 2020-10-06 19:18:28 5 2 splunk/ splunk-query/ time-precision

我有一個 Splunk 搜索字符串。 如果我添加earliest=10/05/2020:23:59:58 ，搜索字符串仍然有效。 但是，如果我將其更改為 earliest=10/05/2020:23:59:58: 01 ，我會收到一條錯誤消息，指出時間項的無效值“10/05/2020:23:59:58:01” '最早' . 這是否意味着 Splunk最早的參數精度僅次於第二？ 我在他們的文件中找不到答案。

謝謝！

2 個解決方案

是的， earliest的精度僅限於“標准” Unix 紀元時間（即自 Unix 誕生以來經過的秒數（任意設置為 1970 年 1 月 1 日 00:00:01（或有時，1969 年 12 月 31 日 23:59） :59))) 因為_time字段包含整數seconds 。

Splunk 知道如何以比秒數更精確的方式轉換看到的時間戳，但這並不意味着_time本身就擁有它們。

_time ，因此，任何引用它的東西（比如earliest ）都不能理解亞秒級精度。 對於這一點，你需要有一個包含在你的事件另一個領域。

對於毫秒搜索時間，包括 timeformat=%m/%d/%Y:%H:%M:%S:%3N 以及您的 earliest=10/05/2020:23:59:58:01。

如何在查詢中使用 Splunk 函數

[英]How to use Splunk functions in the query

如何根據紀元時間而不是人類可讀的時間查詢splunk的最新和最早時間？

[英]How do i query splunk for latest and earliest time based on epoch time rather than human readable time?

在 Splunk 的搜索查詢中使用表中的參數

[英]Use Parameters in Table in Search Query in Splunk

如何忽略Splunk查詢中的特定子字符串

[英]How to ignore a specific sub-string from Splunk query

SPLUNK 在第二次搜索中使用第一次搜索的結果

[英]SPLUNK use result from first search in second search

Splunk：如何在一個查詢中使用多個正則表達式？

[英]Splunk: How to use multiple regular expressions in one query?

如何在Splunk搜索查詢中使用/執行查找列中的位置

[英]How to use/do where in column of a lookup in Splunk Search Query

Splunk Query 更新查詢

[英]Splunk Query to update a query

Splunk 將第二個查詢結果（字段）帶入第一個查詢 Linux 主機的百分比 Memory

[英]Splunk to take the second queries result(field) into first query for Percentage Memory of Linux host

R的Splunk查詢語言

[英]Splunk query language for R

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何在查詢中使用 Splunk 函數如何根據紀元時間而不是人類可讀的時間查詢splunk的最新和最早時間？在 Splunk 的搜索查詢中使用表中的參數如何忽略Splunk查詢中的特定子字符串 SPLUNK 在第二次搜索中使用第一次搜索的結果 Splunk：如何在一個查詢中使用多個正則表達式？如何在Splunk搜索查詢中使用/執行查找列中的位置 Splunk Query 更新查詢 Splunk 將第二個查詢結果（字段）帶入第一個查詢 Linux 主機的百分比 Memory R的Splunk查詢語言

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM