спланировал последнее событие для каждого хоста

Question

Я пытаюсь получить метку времени последнего события для каждого хоста, поиск Google найден ниже:

| тип метаданных = хосты |Таблица host, lastTime

, похоже, сработала, вернула хост и метку времени, однако метка времени - это большое целое число, как мне преобразовать в местное время?

и как мне отфильтроватьэто так, это только вернуть определенные хосты?

Спасибо.

Answer 1

Для форматирования времени - попробуйте этот пост: Splunk преобразует извлеченное поле в миллисекундах в настоящее время в ЧЧ: ММ: СС

Для поиска хоста - вы должны иметь возможность |поисковый хост = XXXX