标签: splunk splunk-query
我有一个要求,我必须在较早的搜索查询之后显示splunk中的日志。即假设我从current_time获得一组搜索结果,并根据时间(最早的时间),下一次的搜索时间进行排序,该结果应该是上一次查询中最后一条记录的时间,而不包括最后一条记录。无论如何,我可以结合使用splunk搜索参数来实现此目标吗?