Splunk - Pesquisa de intervalo de tempo

A interface da web do Splunk exibe a linha do tempo que indica a distribuição de eventos em um intervalo de tempo. Existem intervalos de tempo predefinidos a partir dos quais você pode selecionar um intervalo de tempo específico ou pode personalizar o intervalo de tempo de acordo com sua necessidade.

A tela abaixo mostra várias opções predefinidas de cronograma. A escolha de qualquer uma dessas opções irá buscar os dados apenas para aquele período de tempo específico, que você também pode analisar mais, usando as opções de linha do tempo personalizadas disponíveis.

Por exemplo, escolher a opção do mês anterior nos dá o resultado apenas para o mês anterior, como você pode ver a propagação do gráfico de linha do tempo abaixo.

Selecionando um Subconjunto de Horário

Ao clicar e arrastar pelas barras na linha do tempo, podemos selecionar um subconjunto do resultado que já existe. Isso não causa a reexecução da consulta. Ele apenas filtra os registros do conjunto de resultados existente.

A imagem abaixo mostra a seleção de um subconjunto do conjunto de resultados -

Mais antigo e mais recente

Os dois comandos, o mais antigo e o mais recente, podem ser usados ​​na barra de pesquisa para indicar o intervalo de tempo entre o qual você filtra os resultados. É semelhante a selecionar o subconjunto de tempo, mas é por meio de comandos em vez da opção de clicar em uma barra de linha de tempo específica. Portanto, ele fornece um controle mais preciso sobre o intervalo de dados que você pode escolher para sua análise.

Na imagem acima, fornecemos um intervalo de tempo entre os últimos 7 dias e os últimos 15 dias. Portanto, os dados entre esses dois dias são exibidos.

Eventos próximos

Também podemos localizar eventos próximos de um horário específico, mencionando o quão perto queremos que os eventos sejam filtrados. Temos a opção de escolher a escala do intervalo, como - segundos, minutos, dias e semana etc.