我正在尝试使用Splunk创建一个搜索,这将允许我在非工作期间只获得结果。我的意思是,Splunk从日志中过滤掉从早上8点到凌晨5点发生的所有事件。
目前,我正在使用的查询是:earliest=-1mon所以我收到了上个月的所有事件,但我只需要在工作时间以外发生的事件。
有可能吗?
答案 0 :(得分:1)
在Splunk中可能有多种方法可以做到这一点。下面是一个。我将小时字段(24小时格式)提取到c_time中,然后将结果限制为8p到5a之间的结果。您可以指定其他过滤器(如最早和最新)更具体。希望这会有所帮助。
... | convert timeformat="%H" ctime(_time) AS c_time | search c_time>= 20 c_time<= 05
-Neeraj。