有人可以帮我删除splunk中的被动主机。我正在使用的查询是:
| metadata type=hosts
| sort recentTime
| convert ctime(recentTime) as Latest
答案 0 :(得分:0)
您应该将recentTime与当前时间进行比较,计算差异并将差异与阈值进行比较以识别这些主机
示例查询:
| metadata type=hosts | eval diff=now()-recentTime | eval threshold=3600 | where diff>threshold
注意:查询未经测试,但您应该明白