Splunk - Ricerca per intervallo di tempo
L'interfaccia web di Splunk mostra la timeline che indica la distribuzione degli eventi in un intervallo di tempo. Ci sono intervalli di tempo preimpostati da cui è possibile selezionare un intervallo di tempo specifico, oppure è possibile personalizzare l'intervallo di tempo secondo le proprie necessità.
La schermata seguente mostra varie opzioni di timeline preimpostate. La scelta di una di queste opzioni recupererà i dati solo per quel periodo di tempo specifico che puoi anche analizzare ulteriormente, utilizzando le opzioni della sequenza temporale personalizzata disponibili.
Ad esempio, la scelta dell'opzione mese precedente ci dà il risultato solo per il mese precedente come puoi vedere lo spread del grafico della sequenza temporale qui sotto.
Selezione di un sottoinsieme temporale
Facendo clic e trascinando sulle barre nella timeline, possiamo selezionare un sottoinsieme del risultato già esistente. Ciò non causa la riesecuzione della query. Filtra solo i record dal set di risultati esistente.
L'immagine sotto mostra la selezione di un sottoinsieme dal set di risultati -
Prima e ultima
I due comandi, il più recente e il più recente, possono essere utilizzati nella barra di ricerca per indicare l'intervallo di tempo in cui filtrare i risultati. È simile alla selezione del sottoinsieme temporale, ma avviene tramite i comandi piuttosto che tramite l'opzione di fare clic su una barra temporale specifica. Quindi, fornisce un controllo più preciso su quell'intervallo di dati che puoi scegliere per la tua analisi.
Nell'immagine sopra, diamo un intervallo di tempo compreso tra gli ultimi 7 giorni e gli ultimi 15 giorni. Quindi, vengono visualizzati i dati tra questi due giorni.
Eventi nelle vicinanze
Possiamo anche trovare eventi nelle vicinanze di un momento specifico menzionando quanto vicino vogliamo che gli eventi vengano filtrati. Abbiamo la possibilità di scegliere la scala dell'intervallo, come - secondi, minuti, giorni e settimana ecc.