如何在 Splunk 仪表板中使用特定日期/时间,最早和最新?

How do I use a specific date/time in Splunk dashboard with earliest and latest?

提问人:learning2learn 提问时间:11/17/2023 更新时间:11/23/2023 访问量:19

问:

如何在 Splunk 仪表板中使用特定日期/时间,最早和最新?我无法弄清楚让 Splunk 仪表板采用硬编码的确切日期而不是偏移量语法。

这效果很好;从 2 天前到 1 天前,24 小时跨度:

<earliest>-2d@h</earliest>
<latest>-1d@h</latest>

我参考了这个文档:https://docs.splunk.com/Documentation/Splunk/9.1.1/Search/Specifytimemodifiersinyoursearch#:~:text=For%20exact%20time%20ranges%2C%20the,April%2027%2C%202022。 他们的搜索栏示例是:

earliest=04/19/2022:00:00:00 latest=04/27/2022:00:00:00

但是,尝试将其应用于我的仪表板,如下所示:Invalid earliest_time.

<earliest>11/13/2023:00:00:00</earliest>
<latest>11/14/2023:00:00:00</latest>
splunk splunk-dashboard

评论

答:

2赞 RichG 11/17/2023 #1

引用的文档用于指定和 SPL,但这不是这里发生的事情。这是一个具有不同规则的简单 XML 仪表板。简单 XML 要求 和 要么是相对时间,要么是 Unix 纪元。请参阅 https://docs.splunk.com/Documentation/Splunk/9.1.2/Viz/PanelreferenceforSimplifiedXML#search 中的“子元素”earliestlatestearliestlatest

评论

0赞 learning2learn 11/23/2023
这完美地解决了我的问题。之后,我使用纪元时间构建了某些特定时间范围的仪表板。因此,我能够追踪到一个主要的性能回归,并修复它。
0赞 warren 11/23/2023 #2

您可以使用时间选取器,然后在搜索中从选择最早和最晚的时间选取器

假设您命名时间选择器timetok

搜索如下所示:

index=ndx sourcetype=srctp earliest=$timetok.earliest$ latest=$timetok.latest$ ...

上一个:在 C 中获取 selenium 中请求的标头#

下一个:Splunk - 处理仪表板搜索的空白令牌