製品
サービス
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
earliest/latest を利用した相対的な日時範囲の指定方法
- 公開日
- 2017-10-20
- 最終更新日
- 2024-07-01
- バージョン
- Splunk Enterprise 9.0.4
- 概要
- earliest/latest を利用して、サーチ文で相対的な日時範囲を指定できます。
- 内容
-
earliest および latest を使用することで、サーチ文で相対的な日時範囲を指定することができます。
このサーチ文での日時範囲の指定は、タイムレンジピッカーの指定よりも優先されます。
earliest と latest を利用した日時範囲の指定
サーチするイベントの日時の範囲を絞り込む場合、earliest で開始日時を、latest で終了日時を指定できます。
この earliest および latest には様々な指定方法がありますが、現在の日時を基準にした、相対的な日時を指定する例をご紹介します。
- earliest=-12h
直近12時間のイベント - latest=-3d
3日以上前のイベント - earliest=-1w@w latest=-0w@w
先週一週間(日曜日~土曜日)のイベント - earliest=-3mon@y+3mon latest=-3mon@y+15mon
今年度(4/1~3/31)のイベント
このように、earliest および latest を使用することで、日時の範囲を指定できます。
また、latest を省略した場合は現在時刻までのイベントをサーチできますが、明示的に latest=now と指定することもできます。
日時の単位の種類と"@"(アットマーク)については次項を参照ください。
日時単位の種類と使い方
使用可能な日時単位の種類は以下の通りです。
- 年 : y
- 月 : mon
- 週 : w
- 日 : d
- 時 : h
- 分 : m
- 秒 : s
例えば、3日前を指定する場合は -3d、4ヶ月前を指定する場合は -4mon と指定します。また、1週間前を指定する場合など、数値が1の場合は -w のように省略することもできます。
日時範囲を丸める(端数を切り捨てる)方法
日時指定をする際に、@(アットマーク)を使用することで、指定した日時を丸める(端数を切り捨てる)ことができます。
単純に -1mon などと指定すると、実行した日の 1ヶ月前の同日の同時刻を指定したことになりますが、この機能を利用することで「先月の一か月間」などの指定ができるようになります。
例えば、サーチを実行した日時が 9/21 9:37 の場合を例に挙げると、サーチされる時間の範囲は以下のようになります。
- earliest=-1mon
8/21 9:37 以降のイベント - earliest=-1mon@mon
8/1 0:00 以降のイベント - earliest=-1mon@d
8/21 0:00 以降のイベント
例えばもし、日時範囲の指定として先月(8月)いっぱいを指定したい場合には、earliest=-1mon@mon latest=-0mon@mon と指定することで実現できます。
また、現在時刻をそのまま丸める場合には latest=@d のように相対的な日時指定を省略できます。
以上
- earliest=-12h
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00
