我在splunk中有一些事件数据,包括很多字段编号,created_on等。现在我根据时间查询数据。有五种情况。
因此,每个数字都是在created_time中的某个特定时间创建的。 现在根据我查询的时间,我想要的是基于时间戳的JSON。
例如, 如果我选择60分钟,我想要在每分钟创建的事件。 在4:01:00,我想要事件编号列表。 然后是下午4:02:00的列表。
同样的过去24小时, 事件编号列表在4:00:00到5:00:00之间。 从5:00:00到6:00:00依次到第二天4:00:00-5:00:00
示例JSON
{"141000213" : {"IN00102", "IIN9239", "IN3u293"},
"141000234" : {"IN87208"},
"141000225" : {"IN03002", "IIN9239"}
}
Splunk真的很新。如果有人能帮我解决这个问题,那将非常有帮助。