Magic Quadrant™ SIEM 2024 de Gartner®
Les pièges du temps dans Splunk : les modificateurs de temps
Par
Laurent Dongradi
« Le temps est une chose mystérieuse, puissante, et quand on y touche, dangereuse. »
- Albus Dumbledore, JK Rowling
Dans la première partie des « Pièges du temps dans Splunk », nous avions abordé la question des fuseaux horaires. Cette fois, nous nous attaquons aux modificateurs de temps.
earliest et latest sont dans le même bateau
L’utilisation des modificateurs de temps dans la chaîne de recherche est pratique. Cela permet d’apporter une précision à la plage de temps, comme par exemple dans la recherche suivante :
index=web earliest=-4h@h latest=@h | timechart count
Cependant, toute recherche qui sort du cadre normal d’exécution aura tôt fait de nous informer délicatement par une icône verte et un message explicite, sur la tâche ou job :
Si ce message informatif n’était là que pour l’esthétique, ce serait un peu dommage. Il nous indique surtout que si l’on enregistre cette recherche en tant que rapport, il ne faut pas garder l’option
« Sélecteur de période ».
La boîte Description nous permet d’informer les futurs utilisateurs de cette limite imposée.
Les 7 derniers jours durent plus qu’une semaine
Pour lancer une recherche, la période prédéfinie des 7 derniers jours démarre en fait 7 jours plus tôt que le moment actuel, avec une aimantation (snap) à l’heure, et se termine au moment actuel.
En utilisant les modificateurs de temps, cela se traduit par :
earliest=-7d@h latest=now
Il sera particulièrement rare de lancer une recherche à l’heure pile, et si on devait lancer la recherche, par exemple à 10h05, on se retrouverait avec :
- 1 journée incomplète de 10h à 24h, soit 14 heures ;
- 6 journées complètes de 24 heures ;
- 1 journée incomplète de 0h à 10h05, soit 10 heures et 5 minutes ;
- La période couverte porte donc sur 8 jours, et non pas 7. La première et la dernière journée totalisant ici, 14+10h05, soit 24 heures et 5 minutes.
Plus on s’éloigne de l’heure pile, et plus on s’approchera d’une journée complémentaire de 24 heures et 59 minutes.
Comment éviter une table de 8 lignes quand on demande à voir les 7 derniers jours ? Comment ne pas avoir 8 points sur une ligne d’une semaine, avec une montée et une descente brusque comme sur la courbe suivante :
8 points pour les 7 derniers jours
Plusieurs possibilités s’offrent à nous, avec par ordre de préférence croissante (de votre serviteur) :
- Inclure des modificateurs de temps dans la recherche ;
o earliest=-7d@d latest=@d
- Spécifier une période relative dans le sélecteur de temps avec aimantation ;
- Utiliser la syntaxe avancée dans le sélecteur de temps ;
- Créer de nouvelles périodes prédéfinies.
Nous allons voir comment créer de nouvelles périodes prédéfinies dans les paramètres de l’interface utilisateur.
Personnalisation des périodes prédéfinies
Depuis le Menu Paramètres > Connaissance : Interface utilisateur > Time ranges
Notez l’entrée :
last_7_days / Last 7 days / Earliest time=-7d@h/ Latest time=now
- Utilisez l’action Clone en face de cette entrée ;
- Choisissez votre application de prédilection ;
- Définissez un nom pour ce nouvel objet ;
- Inventez un Label explicite pour ne pas entrer en conflit avec Last 7 days / 7 derniers jours (c’est ce que les utilisateurs verront) ;
Earliest time = -7d@d
Latest time = @d
- Cliquez sur Save.
L’objet ainsi créé est privé. Si vous êtes un Power User ou un Admin, vous pouvez le partager avec les autres utilisateurs.
Vous pouvez maintenant lancer une recherche, et vérifier que le sélecteur de temps propose dans les périodes prédéfinies votre nouvel objet parmi les temps relatifs.
On peut aussi créer une nouvelle période prédéfinie pour les 30 derniers jours, avec :
Earliest time = -30d@d
Latest time = @d
Et voilà, le tour est joué !
Vous n’avez donc pas perdu votre temps en lisant cette nouvelle série sur « Les pièges du temps dans Splunk » . Si vous souhaitez lire d’autres articles pratiques sur d'autres sujets, je vous invite à me contacter sur LinkedIn ou dans les commentaires de cet article.
En attendant, le service Splunk Education se tient à votre disposition pour toute question supplémentaire et vous accompagne tout au long de votre progression dans l’apprentissage de la solution Splunk.
Pour vous entraîner et si vous n’avez pas de générateur de données, vous pouvez utiliser les données du tutoriel Splunk, identiques à celles des formations de base ici.
Et si vous ne maîtrisez pas encore les expressions régulières, indispensables à tout admin Splunk, de nombreux sites indépendants proposent des leçons et des tutoriels :
Pour apprendre : https://regexone.com/
Pour tester : https://regex101.com/
Pour faire des mots croisés en regex : https://regexcrossword.com/
Articles similaires
À propos de Splunk
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
Échangez avec Splunk sur X
Suivre @splunk
