3

我有一个 Splunk 搜索字符串。如果我添加early=10/05/2020:23:59:58,搜索字符串仍然有效。但是,如果我将其更改为 early=10/05/2020:23:59:58: 01,我会收到一条错误消息,指出时间期限的无效值“10/05/2020:23:59:58:01”最早'。这是否意味着 Splunk最早的参数精度是仅次于的?我在他们的文件中找不到答案。

谢谢!

4

1 回答 1

1

是的,earliest' 的精度仅限于“标准” Unix 纪元时间(即自 Unix 诞生以来经过的秒数(任意设置为 1970 年 1 月 1 日 00:00:01 或有时,1969 年 12 月 31 日 23:59: 59))) 因为该_time字段包含整数

Splunk 知道如何转换 比仅仅几秒钟更精确的时间戳,但这并不意味着本机保存它们。_time

_time,因此,任何引用它的东西(如earliest)都不理解亚秒级精度。为此您将需要在您的事件中包含另一个字段。

于 2020-11-20T20:09:55.620 回答