  • Date and time variables【日期和时间变量】
  • Time variables【时间变量】
  • Date variables【日期变量】
    • Specifying days and weeks【指定天和周】
    • Specifying months【指定月份】
    • Specifying year【指定年份】
  • Examples【举例】
    • Converting UNIX timestamps into dates
    • Converting UNIX timestamps into dates and times
    • Converting timestamps into UNIX

Date and time variables【日期和时间变量】

Variable Description
%c 采用由服务器操作系统定义的日期、时间,例如:Thu Jul 18 09:30:00 2019 for US English on Linux.
%+ 采用由服务器操作系统定义的日期、时间还有时区, Thu Jul 18 09:30:00 PDT 2019 for US English on Linux.

Time variables【时间变量】

Variable Description
%Ez Splunk-specific, timezone in minutes.Splunk特指的时区以分为单位
%f 十进制微秒
%H 小时(24小时制),小时数由00-23表示,前导0可接受但不是必需的
%I 大写字母i。小时(12 小时制),小时数由01-12表示。前导0可接受但不是必需的。与 %p一起使用可为12小时制指定AM或PM。
%k 与%H一样,小时(24 小时制)。前导0替换为空格,例如0-23。
%M 分钟。分钟由00到59表示。前导0可接受但不是必需的。
%N 亚秒位数。默认值为%9N。您可以指定%3N=毫秒,%6N=微秒,%9N=纳秒。
%p AM或PM。与%I一起使用以指定AM或PM的12小时制。不要与%H一起使用。
%Q UTC 时间戳的亚秒级分量。默认值为毫秒,即 %3Q。有效值为:%3Q=毫秒,值为 000-999,%6Q=微秒,值为 000000-999999,%9Q=纳秒,值为000000000-9999999999
%S 秒,例如 00 到 59。
%s UNIX 纪元时间戳,或自纪元以来的秒数:1970-01-01 00:00:00 +0000 (UTC)。例如,UNIX 纪元时间1484993700等于 Tue Jan 21 10:15:00 2020。
%T 以24小时制表示的时间 (%H:%M:%S)。例如,23:59:59。
%X 当前区域设置格式的时间。对于US English,上午 9:30 的格式为 9:30:00。
%Z 时区缩写。例如,美国东部标准时间的 EST。
%z 与 UTC 的时区偏移量,以小时和分钟为单位:+hhmm 或 -hhmm。例如,UTC 之前的 5 小时,值为 -0500,即美国东部标准时间。例子:使用 %z 指定小时和分钟,例如 -0500;使用 %: z 指定用冒号分隔的小时和分钟,例如 -05:00‘使用 %:: z 指定用冒号分隔的小时、分钟和秒,例如 -05:00:00;使用 %::: z 仅指定小时,例如 -05
%% 文本“%”字符。

Date variables【日期变量】

Variable Description
%F 相当于 %Y-%m-%d(ISO 8601 日期格式)。
%x 采用当前区域设置格式的日期。例如,7/13/2019 表示US English。

Specifying days and weeks【指定天和周】

Variable Description
%A Full weekday name. (Sunday, …, Saturday)
%a Abbreviated weekday name. (Sun, … ,Sat)
%d Day of the month as a decimal number, includes a leading zero. (01 to 31)
%e Like %d, the day of the month as a decimal number, but a leading zero is replaced by a space. (1 to 31)
%j Day of year as a decimal number, includes a leading zero. (001 to 366)
%V (or %U) Week of the year. The %V variable starts the count at 1, which is the most common start number. The %U variable starts the count at 0.
%w Weekday as a decimal number. (0 = Sunday, …, 6 = Saturday)

Specifying months【指定月份】

Variable Description
%b Abbreviated month name. (Jan, Feb, etc.)
%B Full month name. (January, February, etc.)
%m Month as a decimal number. (01 to 12). Leading zeros are accepted but not required.

Specifying year【指定年份】

Variable Description
%y Year as a decimal number, without the century. (00 to 99). Leading zeros are accepted but not required.
%Y Year as a decimal number with century. For example, 2020.


Converting UNIX timestamps into dates

下表显示了使用strftime()的几个日期格式变量的结果。这些示例显示了用strftime()函数处理日期Fri Apr 29, 2022 23:45:22 GMT-0700(太平洋夏令时间)的结果。

Date format string Result
%Y-%m-%d 2022-04-29
%y-%m-%d 22-04-29
%b %d, %Y Apr 29, 2022
%B %d, %Y April 29, 2022
%a %b %d, %Y Fri Apr 29, 2022
Converting UNIX timestamps into dates and times

下表显示了使用strftime()的几个日期时间变量的结果。这些示例显示了用strftime()函数处理日期Fri Apr 29, 2022 23:45:22 GMT-0700(太平洋夏令时间)的结果。

Date and Time format string Result
%Y-%m-%dT%H:%M:%S.%Q 2022-04-29T23:45:22.000
%Y-%m-%dT %H:%M:%S.%Z 2022-04-29T 23:45:22.PDT
%Y-%m-%dT %H:%M:%S.%QZ 2022-04-29T 23:45:22.000Z
%Y-%m-%dT%H:%M:%S.%QZ 2022-04-29T23:45:22.000Z
%Y-%m-%dT%H:%M:%S 2022-04-29T23:45:22
%Y-%m-%dT%T 2022-04-29T23:45:22
%m-%d-%Y %I:%M:%S %p 04-29-2022 11:45:22 PM
%b %d, %Y %I:%M:%S %p Apr 29, 2022 11:45:22 PM
%m-%d-%Y %H:%M:%S.%Q 04-29-2022 23:45:22.000
%m-%d-%Y %H:%M:%S.%Q %z 04-29-2022 23:45:22.000 -0700
%d/%b/%Y:%H:%M:%S.%f %z 29/Apr/2022:23:45:22.000000 -0700

Converting timestamps into UNIX

例如,此搜索返回 UNIX 时间 1671126322.000000。

… | eval mytime=strptime(“2022-12-15T09:45:22”,“%Y-%m-%dT%H:%M:%S”)

Timestamps Date and Time format string UNIX time
2022-9-25T09:45:22.000 %Y-%m-%dT%H:%M:%S.%Q 1664124322.000000
2022-12-15 09:45:22 %Y-%m-%d %H:%M:%S 1671126322.000000

The following table shows the results of searches that use time variables:

host=“www1” | eval WeekNo = strftime(_time, “%V”)

Creates a field called WeekNo and returns the values for the week numbers that correspond to the dates in the _time field.

… | eval mytime=strftime(_time,“%Y-%m-%dT%H:%M:%S.%Q”)

Creates a field called mytime and returns the converted timestamp values in the _time field. The values are stored in UNIX format and converted using the format specified, which is the ISO 8601 format. For example: 2021-04-13T14:00:15.000.

… | eval start=strptime(Sent, “%H:%M:%S.%N”), end=strptime(Received, “%H:%M:%S.%N”) | eval difference=end-start | table end, start, difference

Takes the values in the Sent and Received fields and converts them into a standard time using the strptime function. Then calculates the difference between the start and end times. The results are displayed in a table.

You can use the round function to round the difference to a specific number of decimal places. For example …| eval difference=round(end-start, 2).

