Установка диапазона поиска внутри поискового запроса
Smart Monitor предоставляет широкий набор функциональных возможностей для анализа и обработки д анных. Одной из важных функций, доступных пользователям, является возможность установки временного диапазона внутри поискового запроса. Эта функция позволяет аналитикам более точно определить временные рамки для анализа данных, что способствует получению более релевантных результатов.
Использование функции установки диапазона поиска
Временной диапазон, внутри поиска или в сохраненном поиске, переопределяет временной диапазон, выбранный среди заданных временных диапазонов. Для использования функции установки диапазона поиска внутри поискового запроса, необходимо применить определенные синтаксические конструкции.
earliest=<start_time> latest=<end_time>
Где:
earliest
: определяет начальную границу временного интервала для поискового запроса.latest
: определяет границу завершения временного интервала поискового запроса.Обратите внимание!Данные конструкции являются аргументами команды
source
. Подробнее о этой команде можно прочитать здесь.
Временные диапазоны и подзапрос
Для работы с большими поисковыми запросами важно понимать, как эти временные диапазоны влияют на основной поиск и подзапрос:
- Использование временного фильтра: При использовании средства выбора временного диапазона, выбранный временной интервал применяется как к основному поиску, так и к подпоискам. Однако, это происходит только в случае, если временной диапазон не указан явно в строке поиска
- Явное указание временных диапазонов в строке поиска: Если временной диапазон указан непосредственно в строке поиска, он применяется только к этой части запроса. Это означает, что временной диапазон в строке поиска не будет распространяться на другие части основного поиска или на подзапрос
- Влияние временных диапазонов на основной поиск и подзапрос:
- Временные диапазоны, указанные в основном поиске, не распространяются на подзапрос.
- Временные диапазоны, указанные в подпоисках, применяются только к соответствующему подпоиску. Это означает, что временной диапазон, заданный в подпоиске, не влияет на основной поиск или на другие подзапрос
Установка относительного и абсолютного диапазона
Для определения относительного и абсолютного времени при поиске, используется строка символов, обозначающая количество времени.
source <имя_источника> earliest=<начальная_дата> latest=<конечная_дата>
Параметры:
source <имя_источника>
: Определяет источник данных, в котором будет выполнен поиск. В данном случае<имя_источника>
- это имя индекса или источника логов.earliest=<относительная_начальная_дата>
: Значение указывает на сколько времени от текущего необходимо сдвинуть начальную границу временного интервала.latest=<относительная_конечная_дата>
: значение указывает на сколько времени от текущего необходимо сдвинуть границу завершения временного интервала.
Относительный интервал
- Начните строку с минуса ( - ) или плюса ( + ), чтобы указать смещение относительно текущего времени.
- Укажите количество времени, используя число и единицу времени. Когда вы указываете разовые суммы, подразумевается число. Например s это то же самое что и 1s, m равнозначно 1m и т. д. Поддерживаемые единицы времени перечислены ниже:
s
- секундыm
- минутыh
- часыd
- дниw
- неделиM
- месяцы
Пример использования
Ниже представлен пример использования относительного диапазона для поиска данных за 1 час прошлого дня:
source winlog_auth earliest="-1d" latest="-23h"
В результате мы получаем следующие данные:
Абсолютный интервал
В Smart Monitor абсолютный диапазон обычно используется для определения конкретного временного интервала, в котором необходимо выполнить поиск или агрегацию данных. Это важно, когда вы хотите ограничить поиск только определенным временным периодом.
Пример использования
source winlog_auth earliest="2024-03-01T00:00:00" latest="2024-03-01T23:59:59"
В этом примере запроса указано выполнение поиска в логах из источника winlog_auth
за 1 марта 2024 года с начала дня (00:00) до конца того же дня.