我正在尝试搜索在Splunk中特定时间范围内发生的事件,但我希望该搜索包含我已编入索引的所有数据,这些数据涵盖了广泛的日期范围。
例如,我想查看索引日志文件中的一行是否包含单词'错误'在我已编入索引的25天日志的上午9点到下午4点之间。如果单词'错误'显示在该时间范围之外,我不希望在搜索结果中显示该内容。
对于日期/时间格式我使用mm / dd / yyyy:hh:mm:ss
我有什么想法可以解决这个问题?
答案 0 :(得分:4)
你可以尝试这样的搜索:
index=foo earliest=-25d (date_hour > 9 and date_hour < 16) "Error"
答案 1 :(得分:0)
虽然所选答案很好,但在我的情况下(splunk v6)却不起作用,但这确实起作用了(主要是添加了| eval date_hour ...)
和我的完整工作搜索(在过去25天的每个中,从上午6点到晚上11点之间的时间):
index = mymts最早= -25d | eval date_hour = strftime(_time,“%H”)|搜索date_hour> = 6 date_hour <= 23 host =“ 172.17.172.1”“ / netmap / *”
希望这对其他人有帮助。