製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
earliest/latest を利用した相対的な日時範囲の指定方法
earliest および latest を使用することで、サーチ文で相対的な日時範囲を指定することができます。 このサーチ文での日時範囲の指定は、タイムレンジピッカーの指定よりも優先されます。 earliest と latest を利用した日時範囲の指定 サーチするイベントの日時の範囲を絞り込む場合、earliest で開始日時を、latest で終了日時を指定できます。 この earliest および latest には様々な指定方法がありますが、現在の日時を基準にした、相対的な日時を指定する例をご紹介します。 このように、earliest および latest を使用することで、日時の範囲を指定できます。 また、latest を省略した場合は現在時刻までのイベントをサーチできますが、明示的に latest=now と指定することもできます。 日時の単位の種類と"@"(アットマーク)については次項を参照ください。 日時単位の種類と使い方 使用可能な日時単位の種類は以下の通りです。 例えば、3日前を指定する場合は -3d、4ヶ月前を指定する場合は -4mon と指定します。また、1週間前を指定する場合など、数値が1の場合は -w のように省略することもできます。 日時範囲を丸める(端数を切り捨てる)方法 日時指定をする際に、@(アットマーク)を使用することで、指定した日時を丸める(端数を切り捨てる)ことができます。 単純に -1mon などと指定すると、実行した日の 1ヶ月前の同日の同時刻を指定したことになりますが、この機能を利用することで「先月の一か月間」などの指定ができるようになります。 例えば、サーチを実行した日時が 9/21 9:37 の場合を例に挙げると、サーチされる時間の範囲は以下のようになります。 例えばもし、日時範囲の指定として先月(8月)いっぱいを指定したい場合には、earliest=-1mon@mon latest=-0mon@mon と指定することで実現できます。 また、現在時刻をそのまま丸める場合には latest=@d のように相対的な日時指定を省略できます。 以上
直近12時間のイベント
3日以上前のイベント
先週一週間(日曜日~土曜日)のイベント
今年度(4/1~3/31)のイベント
8/21 9:37 以降のイベント
8/1 0:00 以降のイベント
8/21 0:00 以降のイベント
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
