0

Splunk で検索を作成しようとしています。これにより、非稼働中の結果のみを取得できます。つまり、Splunk は午前 8 時から午前 5 時までに発生したすべてのイベントをログから除外します。

現在、私が使用しているクエリは次のとおりです。earliest=-1monしたがって、先月からすべてのイベントを取得しますが、勤務時間外に発生したイベントのみが必要です。

出来ますか?

4

1 に答える 1

1

Splunk でこれを行うには、おそらく複数の方法があります。以下は1つです。時間フィールド (24 時間形式) を c_time に抽出し、結果を 8p から 5a の間のものに制限しています。より具体的にするために、最も古いものや最新のものなどの他のフィルターを指定できます。お役に立てれば。

... | convert timeformat="%H" ctime(_time) AS c_time | search c_time>= 20 c_time<= 05

-ニーラジ。

于 2012-12-19T17:28:12.660 に答える