我正在尝试搜索 Splunk 中特定时间范围内发生的事件,但我希望该搜索包含我索引的所有数据,这些数据涵盖了广泛的日期范围。
例如,我想查看已索引的 25 天日志中上午 9 点到下午 4 点之间索引日志文件中的一行是否包含“错误”一词。如果“错误”一词出现在该时间范围之外,我不希望它显示在我的搜索结果中。
对于日期/时间格式,我使用 mm/dd/yyyy:hh:mm:ss
我有什么想法可以解决这个问题吗?
您可以尝试这样的搜索:
index=foo earliest=-25d (date_hour > 9 and date_hour < 16) "Error"