我正在尝试获取每个主机的最新事件时间戳,谷歌搜索如下:
|元数据类型=主机 | 表主机,上次
似乎有效,返回了主机和时间戳,但是,时间戳是一个大整数,我如何转换为本地时间?
另外我如何过滤它以便它只返回某些主机?
谢谢。
问问题
1164 次
1 回答
1
对于时间格式 - 试试这个帖子: Splunk 将当前毫秒内提取的字段转换为 HH:MM:SS
对于主机搜索 - 你应该能够 | 搜索主机=XXXX
于 2012-04-04T16:50:47.320 回答