Splunk中限定查询某一天的零点到与今天同一时间点的时间范围

已于 2022-07-06 15:07:18 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: Splunk 文章标签: splunk 大数据
于 2021-03-21 22:28:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/115057544
版权 
在Splunk中有时我们会想要拿今天零点到当前时间点的这个时间段的数据与过去某一天的零点到与当前同一时分秒的时间段的数据做比较。

| eval _time=strptime(timestamp, "%Y-%m-%dT%H:%M:%S.%1Q%z")
| eval start_time=strptime("2021-03-21"."T"."00:00:00 -0500", "%Y-%m-%dT%H:%M:%S.%1Q%z")
| eval end_time=strptime("2021-03-21"."T".strftime(now(),"%H:%M:%S.%1Q%z"), "%Y-%m-
%dT%H:%M:%S.%1Q%z")
| where (_time>=start_time AND _time<=end_time)

QYHuiiQ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
(已解决) splunk 查询时间显示问题
shenghuiping2001的专栏
09-27 1106
今天同事反映splunk 查询时间splunk 页面上显示的不准确,特别是时间段是 "all time", 不仅仅是“last 24 hours" or "last 15 minutes", 原因找到,是页面上设置的是default timezone 的原因。 解决如下: 1:(找到账号下面的这个preferences). 2: 开后,设置 Preference 后,设置文时区:然后save 保存。 3: 设置好后,就可以看到正确时间显示啦: 完美解决splunk 时间显示...
Splunk 不去解析 event 里面的时间
shenghuiping2001的专栏
12-21 567
Splunk 对Event 日志事件时间戳 有独特的结局方法,包含 时间格式 和时区,还是很强大的。
splunk】按时间统计并找到异常值
weixin_33713707的博客
06-27 1130
场景: 有长时间对多个端口访问的日志数据,每天对端口的访问量是稳定的。如果某一天对某个端口的访问量突然增加表示可能出现了问题。现在要通过splunk找到异常值。   思路: 统计每个端口每天的访问量。统计其最大值,平均值,位数。最大值和平均值比值大的,以及最大值和位数比值大的就是可能异常的地方。通过一个交互折线图来展示选定端口每天的访问量。   1.统计每个端口每天的访问量。 source=...
Splunk设置正确的事件时间
Swime的博客
08-04 861
Splunk默认会将日志最先出现的时间作为事件的事件 例如,我这里有一笔防火墙日志 Mar 4 10:53:30 172.23.5.111 Mar 4 10:35:04 PA-3020 1,2019/03/04 10:35:03,001801037311,TRAFFIC,end,1,2019/03/04 10:35:03,172.23.4.49,10.29.4.192,0.0.0.0,0.0.0.0,Tap,,,msrpc-base,vsys1,Tap,Tap,ethernet1/12,etherne
Splunk】日期和时间格式变量
最新发布
qq_45800977的博客
11-02 492
本文列出了可以在函数strftime()和strptime()定义时间格式的变量,这些参数也可用来在事务数据描述时间戳。 另外可以使用relative_time()和now()函数作为参数。
splunk设置realtime search的配置
u012085379的专栏
11-14 1225
禁用realtime search,可以在indexes.conf和limits.conf里面配置。 indexes.conf [default] enableRealtimeSearch=     limits.conf [search] max_rt_search_multiplier= realtime_buffer = max_rt_search_multipl
Splunk查询官方教程_
09-02
针对提供的文件信息,这里将详细讲解Splunk的核心知识,包括搜索、告警、指标、数据透视表、仪表板与可视化、知识管理器、更新管理、报表等方面。 1. **搜索查询**:`Splunk-7.0.0-SearchReference-搜索参考-zh_...
SPLUNK8.2.0文手册
03-18
1. **搜索与探索**:SPLUNK的搜索语法强大且灵活,允许用户通过简单的查询语句或复杂的搜索表达式来查找和分析数据。时间范围、字段筛选和聚合函数是常用的操作。 2. **实时监控**:通过实时搜索和实时仪表板,你...
splunk-app-statsdician:一个使用StatsD将指标收集到Splunk的应用
04-30
statsdician在Splunk上打开一个statsd终结,该终结使用Splunk 6.3的新将事件直接馈送到Splunk。 statsdician可以在任何事件收集器实例(例如,转发器,索引器等)上运行。 statsdician将事件作为JSON对象或...
SPLUNK 50文手册.pdf
04-09
SPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdfSPLUNK 50文手册.pdf
splunk8.0文文档手册.rar
08-06
Splunk 8.0文文档手册是一份详尽的指南,涵盖了这个强大的日志管理和分析平台的各个方面。Splunk作为一个企业级的日志管理和分析工具,它能够收集、索引、搜索、监视和分析各种机器数据,帮助企业提升运营效率,...
Splunk 处理日志时间延迟
shenghuiping2001的专栏
04-08 613
Splunk 的日志延迟,如果是短时间延迟,可能是thruput 参数配置,如果是好几个小时,那就要考虑本文介绍的方法了。
splunk如何获取今天的年月日
QYHuiiQ
06-06 363
| eval nowstring=strftime(now(), "%Y-%m-%d")
Splunk 命令学习
Difffate的技术随笔
03-25 3588
查询一台机子上的source目录 host="SERVER_IP1" | chart count by source 按10分钟间隔查询某个API请求的平均耗时 host="SERVER_IP"  source="YOUR FILE SOURCE PATH" YOUR_API_PATH | timechart avg(time_taken) span=10m host可
splunk spl语法笔记
QYHuiiQ
08-31 5688
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
_indextime 和 _time 以及_index_earliest 和 earlist
06-21 1004
1.Splunk_time是event产生的时间,_indextime是该event被计入到Splunk时间。 我们通常用 (_indextime- _time)来计算Splunk的latency time. _index_earliest 和_index_latest 所构成的time range是用来检索_indextime在这个时间范围里的所有event。 而 earlist和lat...
Splunk12小时制AM/PM的日期转换
QYHuiiQ
02-23 595
Splunk对带有AM/PM的12小时制的日期格式转换成unix time时按照如下格式: | basesearch.... | eval test_time="23/02/2022 04:30:00:000 PM" | eval test_time_epoch=strptime(test_time, "%d/%m/%Y %I:%M:%S:%3N %p") #这里要注意的是在12小时制,小时是用I表示,24小时制用H表示,如果在12小时制写成了H,那么如果原始日期是PM的,转换的时候会转换
Splunk智能运维实战》——第2章 深入数据——搜索和报表 2.1 简介
weixin_33796205的博客
05-02 313
本节书摘来自华章计算机《Splunk智能运维实战》一书的第2章,第2.1节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 第2章 深入数据——搜索和报表 2.1 简介 之前的章节介...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值