在 Splunk 仪表板中设置特定时间间隔以获取结果

Question

我目前正在尝试在仪表板中设置一个 splunk 搜索查询，以检查特定的时间间隔。我试图设置的工作每天运行三遍。早上 6 点一次，下午 12:20 一次，16:20（下午 4:20）一次。目前查询只是搜索最新时间并设置背景是否收到错误，但用户希望它每天运行的三次单独显示，所以现在我需要设置时间间隔三个面板中的每一个都显示，我尝试了很多没有运气的东西（我是 splunk 的新手，所以我只是随机尝试不同的语法）。

我尝试使用搜索命令 |search Time>6:00:00 Time

我的索引在顶部，但我认为没有必要显示。
| rex field=_raw ".+EVENT:\s(?\S+)\s.+STATUS:\s(?\S+)\s.+JOB:\s(?\S+)" | stats latest(_time) as Time by status | eval Time=strftime(Time, "%H:%M:%S") stats Time>6:00:00 Time

Answer 1

我遇到了和你一样的问题（这里和其他地方的解决方案都不起作用），但是下面这最终对我有用：

（添加这个，以正确格式化/删除时间） | eval date_hour=strftime(_time, "%H")

和我的完整工作搜索（每天早上 6 点到晚上 11 点之间，前 25 天）：

索引=mymts 最早=-25d | eval date_hour=strftime(_time, "%H") | search date_hour>=6 date_hour