1splunk搜索命令eval---时间运算1.1strftime(X,Y)将UNIX时间还原成标准可读时间描述将UNIX时间还原成标准时间示例...|evaln=strftime(_time,"%H:%M")1.2strptime(X,Y)将人类可读时间还原成unix时间描述将人类可读时间还原成unix时间示例...|evaln=strptime(timeStr,"%H:%M")1.3time() 返回事件被eval处理时的时间描述返回事件被eval处理时的时间,微秒-6次方示例1.4now()搜索开始时的UNIX时间描述无须参数,直接返回搜索开始时的UNIX时间示例1.5relative_time(X,Y)相对时间描述相对时间时间X再减少Y时间单位示例...|evaln=relative_time(now(),"-1d@d"),从现在起向后推1天,以天为单位1.6理解关于_time,time,now(),relative_timesource="Perfmon:cpu"|evaltime=time()|evaltime_r=strftime(time(),"%m/%d/%y%H:%M:%S")|evalnow=now()|evalnow_r=strftime(now(),"%m/%d/%y%H:%M:%S")|evalrelatvie_time=relative_time(time(),"-1h@h")|evalrelatvie_time_r=strftime(relatvie_time,"%m/%d/%y%H:%M:%S")|table_timetimetime_rnowrelatvie_timerelatvie_time_r