我有一个 Splunk 搜索字符串。如果我添加 earliest=10/05/2020:23:59:58,搜索字符串仍然有效。但是,如果我将其更改为 earliest=10/05/2020:23:59:58:01,我会收到一条错误消息,提示 invalid value "10/05/2020:23: 59:58:01"表示时间术语“最早”。这是否意味着 Splunk 的earliest 参数的精度仅次于第二?我在他们的文档中找不到答案。
谢谢!
最佳答案
是的,earliest的精度限于“标准”Unix epoch time (即自 Unix 诞生以来经过的秒数(任意设置为 1970 年 1 月 1 日 00:00:01(或有时为 1969 年 12 月 31 日 23:59:59)))因为 _time字段包含整数秒。
Splunk 知道如何 convert timestamps以 比 秒更精确的方式看到,但这并不意味着 _time 本身就拥有它们。
_time,因此,任何引用它的内容(如 earliest)都无法理解亚秒精度。对于那个,您需要在您的事件中包含另一个字段。
关于splunk - 在 Splunk 查询中对 "earliest"使用亚秒精度,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64232440/