TIPS & TRICKS

Les pièges du temps dans Splunk : les modificateurs de temps

« Le temps est une chose mystérieuse, puissante, et quand on y touche, dangereuse. »
- Albus Dumbledore, JK Rowling

Dans la première partie des « Pièges du temps dans Splunk », nous avions abordé la question des fuseaux horaires. Cette fois, nous nous attaquons aux modificateurs de temps. 

earliest et latest sont dans le même bateau

L’utilisation des modificateurs de temps dans la chaîne de recherche est pratique. Cela permet d’apporter une précision à la plage de temps, comme par exemple dans la recherche suivante :

index=web earliest=-4h@h latest=@h | timechart count

Cependant, toute recherche qui sort du cadre normal d’exécution aura tôt fait de nous informer délicatement par une icône verte et un message explicite, sur la tâche ou job :

Si ce message informatif n’était là que pour l’esthétique, ce serait un peu dommage. Il nous indique surtout que si l’on enregistre cette recherche en tant que rapport, il ne faut pas garder l’option
« Sélecteur de période ».

La boîte Description nous permet d’informer les futurs utilisateurs de cette limite imposée.

Les 7 derniers jours durent plus qu’une semaine

Pour lancer une recherche, la période prédéfinie des 7 derniers jours démarre en fait 7 jours plus tôt que le moment actuel, avec une aimantation (snap) à l’heure, et se termine au moment actuel.

En utilisant les modificateurs de temps, cela se traduit par :

earliest=-7d@h latest=now

Il sera particulièrement rare de lancer une recherche à l’heure pile, et si on devait lancer la recherche, par exemple à 10h05, on se retrouverait avec :

  • 1 journée incomplète de 10h à 24h, soit 14 heures ;
  • 6 journées complètes de 24 heures ;
  • 1 journée incomplète de 0h à 10h05, soit 10 heures et 5 minutes ;
  • La période couverte porte donc sur 8 jours, et non pas 7. La première et la dernière journée totalisant ici, 14+10h05, soit 24 heures et 5 minutes.

Plus on s’éloigne de l’heure pile, et plus on s’approchera d’une journée complémentaire de 24 heures et 59 minutes.

Comment éviter une table de 8 lignes quand on demande à voir les 7 derniers jours ? Comment ne pas avoir 8 points sur une ligne d’une semaine, avec une montée et une descente brusque comme sur la courbe suivante :

8 points pour les 7 derniers jours

Plusieurs possibilités s’offrent à nous, avec par ordre de préférence croissante (de votre serviteur) :

  • Inclure des modificateurs de temps dans la recherche ;
o   earliest=-7d@d latest=@d
  • Spécifier une période relative dans le sélecteur de temps avec aimantation ;

  • Utiliser la syntaxe avancée dans le sélecteur de temps ;

  • Créer de nouvelles périodes prédéfinies.

Nous allons voir comment créer de nouvelles périodes prédéfinies dans les paramètres de l’interface utilisateur.

Personnalisation des périodes prédéfinies

Depuis le Menu Paramètres > Connaissance : Interface utilisateur > Time ranges

Notez l’entrée :

last_7_days / Last 7 days / Earliest time=-7d@h/ Latest time=now
  • Utilisez l’action Clone en face de cette entrée ;
  • Choisissez votre application de prédilection ;
  • Définissez un nom pour ce nouvel objet ;
  • Inventez un Label explicite pour ne pas entrer en conflit avec Last 7 days / 7 derniers jours (c’est ce que les utilisateurs verront) ;
Earliest time = -7d@d

Latest time = @d
  • Cliquez sur Save.

L’objet ainsi créé est privé. Si vous êtes un Power User ou un Admin, vous pouvez le partager avec les autres utilisateurs.

Vous pouvez maintenant lancer une recherche, et vérifier que le sélecteur de temps propose dans les périodes prédéfinies votre nouvel objet parmi les temps relatifs.

On peut aussi créer une nouvelle période prédéfinie pour les 30 derniers jours, avec :

    Earliest time = -30d@d

    Latest time = @d

Et voilà, le tour est joué !

Vous n’avez donc pas perdu votre temps en lisant cette nouvelle série sur « Les pièges du temps dans Splunk » . Si vous souhaitez lire d’autres articles pratiques sur d'autres sujets, je vous invite à me contacter sur LinkedIn ou dans les commentaires de cet article.

En attendant, le service Splunk Education se tient à votre disposition pour toute question supplémentaire et vous accompagne tout au long de votre progression dans l’apprentissage de la solution Splunk.

Pour vous entraîner et si vous n’avez pas de générateur de données, vous pouvez utiliser les données du tutoriel Splunk, identiques à celles des formations de base ici.

Et si vous ne maîtrisez pas encore les expressions régulières, indispensables à tout admin Splunk, de nombreux sites indépendants proposent des leçons et des tutoriels :

Pour apprendre : https://regexone.com/

Pour tester : https://regex101.com/

Pour faire des mots croisés en regex : https://regexcrossword.com/

October 01, 2020
Laurent Dongradi
Posted by

Laurent Dongradi

Depuis tout petit déjà, en écoutant certains profs, je me disais : "Ca serait plus compréhensible dit comme ça." Après 11 ans dans la formation chez un éditeur software, j'ai approché le monde du hardware comme avant-vente. 4 ans plus tard, je suis revenu faire de la formation chez un éditeur software."
Sinon, en vacances, je vais donner un coup de main dans un Ashram à Katmandou. Mais surtout, j'y donne des cours de français et d'informatique aux enfants.