如何解决在Splunk查询中“最早”使用亚秒级精度
我有一个Splunk搜索字符串。如果我添加 earliest = 10/05/2020:23:59:58 ,搜索字符串仍然有效。但是,如果我将其更改为最早= 10/05/2020:23:59:58: 01 ,则会收到一条错误消息,提示无效值“ 10/05/2020:23: 59:58:01”作为时间术语“最早” 。这是否意味着Splunk的最早参数的精度仅为秒?我在他们的文件中找不到答案。
谢谢!
解决方法
是的,earliest
的精度仅限于“标准” Unix epoch time(即,自Unix诞生以来经过的秒数(任意设置为1970年1月1日00: 00:01(或有时是1969年12月31日23:59:59))),因为_time
字段保留整数 seconds 。
Splunk知道如何convert timestamps精确度要比仅仅几秒钟高,但这并不意味着_time
天生就拥有它们。
_time
,因此引用它的任何内容(例如earliest
)都不了解亚秒级精度。对于那个,您需要在事件中包含另一个包含它的字段。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。