Splunk-時間範囲検索

Splunk Webインターフェースには、一定期間のイベントの分布を示すタイムラインが表示されます。 特定の時間範囲を選択できるプリセットの時間間隔があります。または、必要に応じて時間範囲をカスタマイズできます。

以下の画面は、さまざまなプリセットタイムラインオプションを示しています。 これらのオプションのいずれかを選択すると、利用可能なカスタムタイムラインオプションを使用して、さらに分析することができる特定の期間のみのデータがフェッチされます。

時間範囲検索1

たとえば、下のタイムライングラフのスプレッドを見るとわかるように、前月のオプションを選択すると、前月の結果のみが表示されます。

時間範囲検索2

時間サブセットの選択

タイムラインのバーをクリックしてドラッグすると、すでに存在する結果のサブセットを選択できます。 これにより、クエリが再実行されることはありません。 既存の結果セットからレコードを除外するだけです。

以下の画像は、結果セットからのサブセットの選択を示しています-

時間範囲検索3

最古および最新

最も早いコマンドと最新のコマンドの2つを検索バーで使用して、結果を除外する時間範囲を指定できます。 これは時間のサブセットを選択するのと似ていますが、特定のタイムラインバーをクリックするオプションではなく、コマンドを使用します。 そのため、分析用に選択できるデータ範囲をより細かく制御できます。

時間範囲検索4

上の画像では、過去7日間から過去15日間の時間範囲を指定しています。 そのため、これらの2日間のデータが表示されます。

近くのイベント

また、イベントをフィルターで除外する程度を指定することで、特定の時間の近くのイベントを見つけることができます。 秒、分、日、週などの間隔のスケールを選択するオプションがあります。