Splunk - Búsqueda de rango de tiempo

La interfaz web de Splunk muestra una línea de tiempo que indica la distribución de eventos en un rango de tiempo. Hay intervalos de tiempo preestablecidos desde los cuales puede seleccionar un rango de tiempo específico, o puede personalizar el rango de tiempo según sus necesidades.

La siguiente pantalla muestra varias opciones de línea de tiempo preestablecidas. Al elegir cualquiera de estas opciones, se obtendrán los datos solo para ese período de tiempo específico que también puede analizar más a fondo, utilizando las opciones de línea de tiempo personalizadas disponibles.

Por ejemplo, elegir la opción del mes anterior nos da el resultado solo para el mes anterior, como puede ver la extensión del gráfico de la línea de tiempo a continuación.

Seleccionar un subconjunto de tiempo

Al hacer clic y arrastrar por las barras en la línea de tiempo, podemos seleccionar un subconjunto del resultado que ya existe. Esto no provoca la re-ejecución de la consulta. Solo filtra los registros del conjunto de resultados existente.

La siguiente imagen muestra la selección de un subconjunto del conjunto de resultados:

Más temprano y más reciente

Los dos comandos, el más antiguo y el más reciente, se pueden usar en la barra de búsqueda para indicar el intervalo de tiempo entre el cual filtra los resultados. Es similar a seleccionar el subconjunto de tiempo, pero es a través de comandos en lugar de la opción de hacer clic en una barra de línea de tiempo específica. Por lo tanto, proporciona un control más preciso sobre ese rango de datos que puede elegir para su análisis.

En la imagen de arriba, damos un rango de tiempo entre los últimos 7 días y los últimos 15 días. Entonces, se muestran los datos entre estos dos días.

Eventos cercanos

También podemos encontrar eventos cercanos de un momento específico al mencionar qué tan cerca queremos que se filtren los eventos. Tenemos la opción de elegir la escala del intervalo, como segundos, minutos, días y semana, etc.