0

我需要能够搜索具有特定开始日期的日志条目,这与_time. 例如,格式为Start_Date: 08/26/2013 4:30 PM.

我需要在搜索中添加一个条件来指定日期,而不是时间。我尝试过strptimestrftime但没有成功。

例如,我尝试将开始日期转换为字符串(没有时间)并将其与另一个字符串进行比较:

"08/26/2013"=strftime(Start_Date, "%d/%m/%Y")

这也不起作用:

 "08/26/2013"=strftime(strptime(Start_Date "%d/%m/%Y %I:%M %p"), "%d/%m/%Y")

任何想法如何解决这个问题?

4

1 回答 1

0

A*成功了:Start_Date=08/26/2013*

在这里回答:http: //answers.splunk.com/answers/100630/splunk-date-comparison

于 2013-08-27T13:01:39.860 回答