Мне нужен запрос Splunk, чтобы получить максимальную индексированную метку времени или последнюю индексированную метку времени для типа источника.
Пожалуйста, помогите, поскольку я застрял здесь довольно долго.
Ваша помощь очень важна.
спасибо
Это должно сделать это.
| tstats latest(_time) where index=* by sourcetype