Splunk 使用时间 2 搜索

在本节中，我们将学习如何在 Splunk 中使用时间戳以及如何借助合适的时间在 Splunk 数据集中搜索更好的结果。

使用高级时间范围选项

我们使用高级选项设置最早和最新的搜索时间。 可以编写相对时间表示法，例如 -3d@d。 我们键入的 UNIX 时间值将转换为本地时间。

我们指示的 UNIX 时间或相对时间将显示在文本字段下方作为时间戳，以便我们检查我们的条目。

预设时间范围自定义列表。

Splunk Web 中的时间范围选择器可以根据预设列表中存在的时间范围进行定制。 我们可以构建一个现有的时间范围，也可以隐藏时间范围。

基于现有时间线创建时间范围

要构建一个新的时间段，最好的方法是使用当前的时间段作为新时间范围的基础。 例如，相对时间段列表包括“过去 15 分钟”时间范围。 我们想构建一个带有时间限制的最后 30 分钟。 我们首先创建“过去 15 分钟”时间跨度的副本，或克隆。 我们将克隆中的“最早”设置从 -15 分钟更改为 -30 分钟。 在“知识”列表下的“设置”中，选择“用户界面”选项。

1. 在用户界面窗格中选择时间范围。
2. 找到我们要使用的时间段。
3. 在操作列中，单击克隆。
4. 有一个时间规范的副本。 更改时间跨度要求并按保存。

新的时间范围显示在“相对”列中的“预设”菜单中。

创建新的预设时间范围

预设菜单将创建一个新的时间。 例如，我们要构建一个时间范围，显示昨天从 12:00 到 15:00 小时的搜索。 在“最早”和“最新”字段中，我们将说明相对时间。 在“最早”扇区中，我们说 -1d@d+12h。 我们在“最新”扇区中说 -1d@d+15h。

1. 从设置菜单中，在“知识”列表中选择用户界面。
2. 在用户界面中，单击时间范围
3. Click
   在“新建”选项上。
4. 填写“添加新窗口”部分中的字段，然后单击保存

新的时间范围显示在“相对”列表中，该列表位于“预设”菜单中。

在预设列表中隐藏时间范围

1. 从“设置”中的“知识”列表中，选择用户界面。
2. 在“用户界面”窗口中，选择时间范围。
3. 找到时间范围。 我们要在状态列中隐藏单击禁用。

为 API 或 CLI 设置默认时间范围。

为 REST API 端点或命令行界面 (CLI) 设置时间范围时，我们可以在 times.conf 文件中手动设置时间范围。

如果我们要覆盖时间范围或构建新的时间范围，请使用 Splunk Cloud 并打开支持票证。

更改默认时间范围。

在搜索和报告应用程序中，即席搜索的默认时间限制设置为过去 24 小时。管理员可以在所有设备上全局设置默认时间范围。

在搜索中指定时间修饰符

在搜索或保存搜索时，我们可以使用以下时间更改器来确定绝对和相对时间范围

例如，绝对时间跨度使用不同的日期和时间，从 2020 年 11 月 1 日凌晨 12 点到 2002 年 11 月 13 日凌晨 12 点。

相对时间段取决于请求的时间。 例如，-60 分钟的相应时间段意味着 60 分钟前。 搜索返回过去 60 分钟的事件，或 2 PM（如果当前时间是 3 PM）。 今天下午 3 点...今天。

当前时间称为“现在”。

我们在搜索栏或保存的搜索中定义的时间范围会覆盖在时间范围选择器中选择的时间范围。

例如，如果我们在时间范围选择器中指定了“过去 24 小时”的时间范围，并在搜索栏中指定了最早=-30 分钟，最新=现在，则搜索仅查找具有过去 30 分钟内的时间标记的事件。

这指的是我们可以在时间范围选择器中选择的所有选项，但它不适用于子搜索。