Splunk SPL 时间转换
now() 当前 UNIX 时间。
strftime(X,Y) 取 UNIX 时间,并⽤⽤户可读格式呈现。
strptime(X,Y) 取⽤户可读时间,并⽤ UNIX 时间呈现。
示例:
| eval now=strftime(now(),"%Y-%m-%d %H:%M:%S.Q")
%Y 年 4位数字
%m 月
%d 日
%H 时
%M 分
%S 秒
%Q 毫秒 3位数字
%B 月份 英文缩写
%a 星期 英文缩写
%V 一年的第几周
relative_time(X,Y) 通过相对时间说明符调整时间。
示例:
| eval n=relative_time(now(), "-1d@d")