Splunk - 时间范围搜索

Splunk Web 界面显示时间线，指示事件在一段时间内的分布情况。有预设的时间间隔，您可以从中选择特定的时间范围，也可以根据需要自定义时间范围。

下面的屏幕显示了各种预设的时间线选项。选择任何这些选项都将仅获取特定时间段的数据，您还可以使用可用的自定义时间线选项进一步分析这些数据。

例如，选择上个月选项只会给我们上个月的结果，如下面的时间线图所示。

选择时间子集

通过单击并拖动时间线中的条形图，我们可以选择已经存在的结果子集。这不会导致重新执行查询。它仅从现有结果集中过滤出记录。

下图显示了从结果集中选择子集 −

最早和最新这两个命令可用于搜索栏，以指示您过滤结果的时间范围。它类似于选择时间子集，但它是通过命令而不是单击特定时间栏的选项来实现的。因此，它可以更精细地控制您可以选择用于分析的数据范围。

在上图中，我们给出了过去 7 天到过去 15 天之间的时间范围。因此，显示这两天之间的数据。

我们还可以通过提及我们希望过滤掉的事件的接近程度来查找特定时间的附近事件。我们可以选择间隔的尺度，例如 - 秒、分钟、天和周等。