0

我正在尝试使用 Splunk 创建一个搜索,这将允许我在非工作期间仅获得结果。我的意思是,Splunk 从日志中过滤掉从早上 8 点到早上 5 点发生的所有事件。

目前,我正在使用的查询是:earliest=-1mon所以我得到了上个月的所有事件,但我只需要那些在工作时间之外发生的事件。

是否可以?

4

1 回答 1

1

在 Splunk 中可能有多种方法可以做到这一点。下面是一个。我将小时字段(24 小时格式)提取到 c_time 中,然后将我的结果限制在 8p 和 5a 之间。您可以指定其他过滤器,例如更具体的最早和最新。希望这可以帮助。

... | convert timeformat="%H" ctime(_time) AS c_time | search c_time>= 20 c_time<= 05

-尼拉杰。

于 2012-12-19T17:28:12.660 回答