我正在尝试获取每个主机的最新事件时间戳,下面是谷歌搜索:
| metadata type = hosts |表主机,lastTime
它似乎工作,返回主机和时间戳,但是,时间戳是一个大整数,我该如何转换为本地时间?
我该如何过滤它以便它只返回某些主机?
感谢。
答案 0 :(得分:1)
对于时间格式化 - 请尝试以下帖子:Splunk convert extracted field in currently milliseconds to HH:MM:SS
对于主机搜索 - 您应该能够|搜索主机= XXXX