Splunk - Zeitbereichssuche

Die Splunk-Weboberfläche zeigt eine Zeitleiste an, die die Verteilung von Ereignissen über einen bestimmten Zeitraum anzeigt. Es gibt voreingestellte Zeitintervalle, aus denen Sie einen bestimmten Zeitbereich auswählen oder den Zeitbereich nach Ihren Wünschen anpassen können.

Der folgende Bildschirm zeigt verschiedene voreingestellte Timeline-Optionen. Wenn Sie eine dieser Optionen auswählen, werden die Daten nur für den bestimmten Zeitraum abgerufen, den Sie mithilfe der verfügbaren benutzerdefinierten Zeitleistenoptionen auch weiter analysieren können.

Wenn Sie beispielsweise die Option "Vorheriger Monat" auswählen, erhalten Sie das Ergebnis nur für den Vormonat, da Sie die Verteilung des Zeitdiagramms unten sehen können.

Auswahl einer Zeituntermenge

Durch Klicken und Ziehen über die Balken in der Zeitleiste können wir eine Teilmenge des bereits vorhandenen Ergebnisses auswählen. Dies führt nicht zur erneuten Ausführung der Abfrage. Es werden nur die Datensätze aus der vorhandenen Ergebnismenge herausgefiltert.

Das folgende Bild zeigt die Auswahl einer Teilmenge aus der Ergebnismenge -

Früheste und neueste

Die beiden frühesten und spätesten Befehle können in der Suchleiste verwendet werden, um den Zeitraum anzugeben, zwischen dem Sie die Ergebnisse herausfiltern. Dies ähnelt der Auswahl der Zeituntermenge, erfolgt jedoch über Befehle und nicht über die Option, auf eine bestimmte Zeitleistenleiste zu klicken. So erhalten Sie eine genauere Kontrolle über den Datenbereich, den Sie für Ihre Analyse auswählen können.

Im obigen Bild geben wir einen Zeitraum zwischen den letzten 7 Tagen und den letzten 15 Tagen an. Die Daten zwischen diesen beiden Tagen werden also angezeigt.

Veranstaltungen in der Nähe

Wir können auch Ereignisse in der Nähe einer bestimmten Zeit finden, indem wir angeben, wie nahe die Ereignisse herausgefiltert werden sollen. Wir haben die Möglichkeit, die Skala des Intervalls zu wählen, wie - Sekunden, Minuten, Tage und Woche usw.