你好，多条件的时间过滤不支持。 #3

xuanyuan1hao · 2022-04-24T08:37:22Z

我使用如下的语句进行时间范围过滤，这里支持不了。
ip_initiator = '10.0.0.1' AND ip_protocol in ('TCP', 'UDP') AND port_initiator > 80 AND port_initiator < 100
| gentimes end_time start=now-7d end=now
| gentimes start_time start=now-7d end=now
| sort -start_time
| head 30

Anonymity94 · 2022-04-25T01:28:53Z

@xuanyuan1hao 你好，这个多时间段的目前是没有支持的。我查阅了下 SPL- Gentimes，无法看出 SPL 是否也支持多时间（或许是可以的，因为有管道符 |）。可以先尝试把其中的一个时间放置在 Search 条件中解决此问题。

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

你好，多条件的时间过滤不支持。 #3

你好，多条件的时间过滤不支持。 #3

xuanyuan1hao commented Apr 24, 2022

Anonymity94 commented Apr 25, 2022

你好，多条件的时间过滤不支持。 #3

你好，多条件的时间过滤不支持。 #3

Comments

xuanyuan1hao commented Apr 24, 2022

Anonymity94 commented Apr 25, 2022