Блог

У меня есть строка поиска Splunk. Если я добавлю самый ранний = 10/05/2020:23:59:58, строка поиска все еще работает. Однако, если я изменил это на самое раннее=10/05/2020:23:59:58:01, Я получил сообщение об ошибке с надписью недопустимое значение «10/05/2020:23:59:58:01» для временного термина «самый ранний». Означает ли это, что точность самого раннего параметра Splunk равна только второму? Я не могу найти ответ в их документах.

Спасибо!

Да, earliest точность ограничена «стандартным» временем эпохи Unix (т.Е. Количеством секунд, прошедших с момента появления Unix (произвольно устанавливается на 01 января 1970 00:00: 01 (или, иногда, 31 декабря 1969 23:59: 59))), потому _time что поле содержит целое-количество секунд.

Splunk знает, как преобразовывать временные метки, видимые с большей точностью, чем просто секунды, но это не значит _time , что они хранятся изначально.

_time , и, следовательно, все, что ссылается на него (например earliest ), не понимает субсекундную точность. Для этого вам понадобится другое поле, содержащее его в вашем событии.

Для времени поиска в миллисекундах включите timeformat=%m /%d /%Y:%H:%M:%S:%3N вместе с вашим самым ранним=10/05/2020:23:59:58:01.