我需要能够搜索具有特定开始日期的日志条目,这与_time无关。例如,格式为Start_Date: 08/26/2013 4:30 PM。
我需要在搜索中添加一个条件来指定日期,而不是时间。我尝试strptime和strftime失败了。
例如,我尝试将开始日期转换为字符串(没有时间)并将其与另一个字符串进行比较:
"08/26/2013"=strftime(Start_Date, "%d/%m/%Y")
这也不起作用:
"08/26/2013"=strftime(strptime(Start_Date "%d/%m/%Y %I:%M %p"), "%d/%m/%Y")
任何想法如何解决这个问题?
答案 0 :(得分:0)
*做了诀窍:Start_Date=08/26/2013*
在这里回答:http://answers.splunk.com/answers/100630/splunk-date-comparison