- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视 & 数据集
- Splunk - 查询表
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - Sparklines(迷你图表)
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 时间范围搜索
Splunk Web界面显示时间线,指示事件在一段时间范围内的分布。您可以从预设的时间间隔中选择特定时间范围,也可以根据需要自定义时间范围。
下面的屏幕显示了各种预设的时间线选项。选择其中任何一个选项只会获取该特定时间段的数据,您还可以使用可用的自定义时间线选项进一步分析这些数据。
例如,选择上个月选项只会显示上个月的结果,如下面的时间线图表所示。
选择时间子集
通过点击并拖动时间线上的条形,我们可以选择已存在结果的一个子集。这不会导致查询重新执行。它只会从现有结果集中过滤掉记录。
下图显示了从结果集中选择子集 -
最早和最晚
earliest 和 latest 这两个命令可以在搜索栏中使用,以指示过滤结果的时间范围。这类似于选择时间子集,但它是通过命令而不是点击特定时间线条形来实现的。因此,它提供了对您可以选择用于分析的数据范围的更精细的控制。
在上图中,我们给出了过去 7 天到过去 15 天之间的时间范围。因此,显示这两天之间的数据。
附近事件
我们还可以通过指定希望过滤出的事件的接近程度来查找特定时间的附近事件。我们可以选择间隔的范围,例如 - 秒、分钟、天和周等。
广告