Splunk - Tìm kiếm theo phạm vi thời gian
Giao diện web Splunk hiển thị dòng thời gian cho biết sự phân bổ của các sự kiện trong một khoảng thời gian. Có các khoảng thời gian đặt trước mà từ đó bạn có thể chọn một phạm vi thời gian cụ thể hoặc bạn có thể tùy chỉnh phạm vi thời gian theo nhu cầu của mình.
Màn hình bên dưới hiển thị các tùy chọn dòng thời gian đặt trước khác nhau. Việc chọn bất kỳ tùy chọn nào trong số này sẽ chỉ tìm nạp dữ liệu cho khoảng thời gian cụ thể mà bạn cũng có thể phân tích thêm, sử dụng các tùy chọn dòng thời gian tùy chỉnh có sẵn.
Ví dụ: việc chọn tùy chọn tháng trước chỉ cung cấp cho chúng tôi kết quả cho tháng trước vì bạn có thể thấy mức chênh lệch của biểu đồ dòng thời gian bên dưới.
Chọn tập hợp con thời gian
Bằng cách nhấp và kéo qua các thanh trong dòng thời gian, chúng ta có thể chọn một tập hợp con của kết quả đã tồn tại. Điều này không gây ra việc thực hiện lại truy vấn. Nó chỉ lọc ra các bản ghi từ tập kết quả hiện có.
Hình ảnh dưới đây cho thấy việc lựa chọn một tập hợp con từ tập hợp kết quả -
Sớm nhất và mới nhất
Hai lệnh, sớm nhất và mới nhất có thể được sử dụng trong thanh tìm kiếm để chỉ ra khoảng thời gian mà bạn lọc ra kết quả. Nó tương tự như việc chọn tập hợp con thời gian, nhưng nó thông qua các lệnh chứ không phải tùy chọn nhấp vào một thanh dòng thời gian cụ thể. Vì vậy, nó cung cấp khả năng kiểm soát tốt hơn đối với phạm vi dữ liệu mà bạn có thể chọn để phân tích.
Trong hình trên, chúng tôi đưa ra phạm vi thời gian từ 7 ngày qua đến 15 ngày qua. Vì vậy, dữ liệu giữa hai ngày này được hiển thị.
Sự kiện lân cận
Chúng tôi cũng có thể tìm thấy các sự kiện lân cận của một thời gian cụ thể bằng cách đề cập đến mức độ chúng tôi muốn các sự kiện được lọc ra. Chúng tôi có tùy chọn chọn tỷ lệ của khoảng thời gian, như - giây, phút, ngày và tuần, v.v.