Splunk-時間範囲検索
Splunk Webインターフェースは、一定期間にわたるイベントの分布を示すタイムラインを表示します。特定の時間範囲を選択できる事前設定された時間間隔があります。または、必要に応じて時間範囲をカスタマイズできます。
以下の画面は、さまざまなプリセットタイムラインオプションを示しています。これらのオプションのいずれかを選択すると、その特定の期間のデータのみがフェッチされ、使用可能なカスタムタイムラインオプションを使用してさらに分析することもできます。
たとえば、前月のオプションを選択すると、下のタイムライングラフの広がりを見ることができるように、前月の結果のみが表示されます。
時間サブセットの選択
タイムラインのバーをクリックしてドラッグすることで、既存の結果のサブセットを選択できます。これにより、クエリが再実行されることはありません。既存の結果セットからレコードを除外するだけです。
下の画像は、結果セットからのサブセットの選択を示しています-
最古および最新
検索バーで最も早いものと最も遅いものの2つのコマンドを使用して、結果を除外する時間範囲を示すことができます。時間サブセットの選択に似ていますが、特定のタイムラインバーをクリックするオプションではなく、コマンドを使用します。そのため、分析用に選択できるデータ範囲をより細かく制御できます。
上の画像では、過去7日間から過去15日間までの時間範囲を示しています。そのため、この2日間のデータが表示されます。
近くのイベント
また、イベントを除外する距離を指定することで、特定の時間の近くのイベントを見つけることもできます。秒、分、日、週など、間隔のスケールを選択するオプションがあります。