#monitoring #data-analysis #splunk #splunk-query #splunk-dashboard
#мониторинг #анализ данных #сплунк #splunk-запрос #splunk-приборная панель
Вопрос:
Мне нужно знать, есть ли возможность исключить определенные временные диапазоны в течение заданного периода времени? У меня есть формула для поиска, а затем я выбрал индикатор даты, но хотел бы знать, могу ли я отфильтровать определенные диапазоны времени в пределах того, что я уже выбрал?
Или единственный выход — выполнить несколько поисков в меню выбора даты?
Большое спасибо
Ответ №1:
Способ фильтрации времени так, как вы описываете, заключается в том, чтобы поместить его непосредственно в SPL вместо использования средства выбора времени с помощью earliest и latest
Например:
index=ndx sourcetype=srctp ((earliest=-24d latest=-20d) OR (earliest=-10d latest=-6d) | lt;rest of SPLgt;