Splunk 使用时间搜索 1

在本节中，我们将学习如何在 Splunk 中使用时间戳，以及如何借助适当的时间在我们的Splunk 数据集中搜索更好的结果。

时间戳的使用方法

时间戳的处理是处理事件的关键步骤。计算机 Splunk 使用时间戳来

• 按时间等同事件
• 构建 Splunk 站点时间线直方图
• 定义搜索的时间限制

Splunk 软件将时间戳应用于索引时间事件。时间戳值是使用程序在原始情况下找到的数据中的信息自动分配的。

时间戳的格式

有时，Splunk 软件将时间表示为 Unix 时间。以这种方式表示的时间显示为一系列数字，例如 1518632124。您可以使用任何 UNIX 时间转换器将 UNIX 时间转换为 GMT 或您的本地时间。

_time 字段

时间字段应为 UNIX 时间。时间字段以人类可读的格式显示在 Splunk Web 的 UI 中。因此，时间字段中的值以 UNIX 时间存储。

窄时间范围

开始新搜索的默认时间段是过去 24 小时。此范围有助于避免使用过度扩展的时间范围运行搜索，这会浪费资源并产生比我们需要的更多结果。

无论我们是运行新搜索、报告还是创建仪表板，缩小时间范围以调整我们需要的时间和日期都很重要。

时间对于评估出了什么问题也很关键。当我们发生某些事情时，如果我们没有确切地知道，我们总是会学到什么。查看与发生某些问题同时发生的事件，将有助于将调查结果联系起来并确定问题的根本原因。

此部分探讨了我们如何使用时间来限制您的搜索，以及我们如何在我们的时间搜索中组合事件。

将时间范围应用于您的搜索。

我们正在使用选取器时间刻度来设置搜索的时间限制。我们可以使用预设的时间范围限制搜索，创建自定义时间范围，分配基于日期或日期和时间的时间范围，或者使用时间选取器中的高级功能。以下部分描述了这些选项。

注意：如果其中一个位于不同的时区，则基于时间的搜索将使用 Splunk 实例事件时间戳，该时间戳在数据插入时对数据进行索引。

从预设时间范围列表中选择

选取器时间范围包括许多内置的时间范围选项，这些选项已在 time.conf 文件中定义。 从 实时 窗口列表中，您可以选择 相对时间 范围，并扫描 所有时间。

自定义相对时间范围

我们使用相对时间范围选项来确定与“现在”或当前时间开始相关的自定义时间段以进行搜索。从时间刻度单位列表中，我们可以选择：几秒钟前、几分钟前等。

默认情况下，不捕捉设置为“最早”，现在设置为“最后”。当我们选择“最早”或“最新”捕捉选项时，时间跨度将捕捉到我们选择的时间框架的开始。例如，如果我们选择“几天前”，今天将从“最早”捕捉值开始。

当我们做出选择时，字段下方的预览框将更改为时间段。

自定义实时时间范围

“实时”选项允许我们定义自定义“最早”时间以进行实时搜索。由于此时间范围不适用于实时搜索。

定义自定义日期范围

在您的搜索中使用“日期范围”选项来确定自定义日历日期。我们可以在事件返回选项之间切换：开始和结束日期之间、某个日期之前和某个日期之后。

我们可以在这些字段的文本框中键入日期，或从日历中选择日期。

自定义日期和时间范围

我们还可以使用“日期和时间范围”选项来确定我们的搜索开始和结束自定义日历日期和时间。

我们可以在文本框中键入日期，或从日历中选择日期。