私は "impact_time"と呼ばれるフィールドを持ち、そこに人間が読める日付があります。今私は、impact_timeの範囲でsplunkを問い合わせたい。唯一の問題は、私が持っている最も早い時期と最後の時期が、エポック形式であることです。どのように私はパスしているエポックの時間範囲に基づいてsplunkクエリを行うのですか?人間が読める時間ではなく、エポック時間に基づいて、最も早く最も早い時間にsplunkをクエリするにはどうすればよいですか?
必要に応じて、impact_timeというフィールドの範囲内のデータで、 を検索で直接使用してみてください。
index=...
| search impact_time>[specific time to start] AND impact_time<[specific time to end] | ...
と仮定すると、フィールド内の特定の範囲のデータの間のイベントが発生する必要があります。
impact_timeを人間が読める形式からエポック形式に変換する必要があります。
... | eval impact_time_epoch=strptime(impact_time, "%Y-%m-%d %H:%M:%S)
は、その後、あなたが
を必要とする範囲をフィルタリングするためにwhereコマンドを使用することができ、例えば... | where impact_time_epoch >= EARLIEST impact_time_epoch <= LATEST