実施環境: Splunk Free 8.2.2
0. 概要
Splunk でサーチを実行する際、検索期間を指定します。
この時、検索期間はプリセットのものを使用したり日付や時刻を入力したりして選択できますが、「詳細」欄を用いるとさらに複雑な設定が可能となります。
今回はその使用可能な設定について紹介します。
1. 現在日時
現在日時を表す場合は、nowを指定します。
2. UNIX 時間
特定の日時を表す場合は、 UNIX 時間で指定します。
全時間を検索期間に指定したい場合は、0を指定します。
UNIX 時間でこれは「 UTC (協定世界時)での1970年1月1日0時0分0秒」を指します。
※今回使用した環境は JST (日本標準時)を使用しているため、+9時間されます。
3. 日時のスナップ
@dのように@の後に単位を指定すると、過去に向かって現在日時を丸めること(スナップ)ができます。
スナップは連続で2回まで実施することが可能です。
その場合、丸めは先頭に記載されたものから順に実施されます。
使用できる単位は以下の通りです。
| 文字 | 内容 |
|---|---|
| y | 年 |
| q | 四半期 |
| mon | 月 |
| w | 週(日曜始まり) |
| w0 | 週(日曜始まり) |
| w1 | 週(月曜始まり) |
| w2 | 週(火曜始まり) |
| w3 | 週(水曜始まり) |
| w4 | 週(木曜始まり) |
| w5 | 週(金曜始まり) |
| w6 | 週(土曜始まり) |
| w7 | 週(日曜始まり) |
| d | 日 |
| h | 時 |
| m | 分 |
| s | 秒 |
4. 日時の加算/減算
+の後に数値と単位を指定すると、現在日時に対して日時の加算ができます。
-の後に数値と単位を指定すると、現在日時に対して日時の減算ができます。
無論、数値には0も指定可能です。
数値が1の場合に限り、数値を省略できます。
加算/減算は連続で何度でも実施することが可能です。
その場合、計算は先頭に記載されたものから順に実施されます。
使用できる単位は以下の通りです。
| 文字 | 内容 |
|---|---|
| y | 年 |
| q | 四半期 |
| mon | 月 |
| w | 週 |
| d | 日 |
| h | 時 |
| m | 分 |
| s | 秒 |
5. 現在日時(リアルタイム)
リアルタイムサーチを使用する場合は、rtを指定します。
6. 複数条件の併用
日時のスナップと加算/減算は同時に使用することが可能です。
なおこの場合、スナップは連続でなければ3回以上使用することも可能です。
また、リアルタイムサーチ指定とも併用可能です。
なおこの場合、rtは必ず先頭かつその次は加算/減算でなければいけません。
加えて、加算/減算とスナップはそれぞれ1回ずつまでしか指定できません。
さらに、「最も早い日時」と「最も遅い日時」の両方にrtを指定する必要があります。
