Open1
日付と時刻のフォーマット変数
tk今回は評価関数 strftime() と strptime() で時間形式を定義するために使用できるフォーマット変数を紹介します。これらの変数を使用する事でイベントのタイムスタンプを記述する事もできます。
詳細は Splunk Documentation を参照する事。
使用する頻度の高い変数を使用した例
| フォーマット変数 | 説明 |
|---|---|
%Y-%m-%d |
2022-04-29 |
%y-%m-%d |
22-04-29 |
%b %d, %Y |
Apr 29, 2022 |
%B %d, %Y |
April 29, 2022 |
%a %b %d, %Y |
Fri Apr 29, 2022 |
%Y-%m-%dT%H:%M:%S.%Q |
2022-04-29T23:45:22.000 |
日付と時刻の変数
| フォーマット変数 | 説明 |
|---|---|
%c |
サーバーのOSで定義されているロケール書式の日付と時刻。例えば Linux 上の en-US での日付と時刻は Thu Jul 18 09:30:00 2019 となる。 |
%+ |
上記のものにタイムゾーンを含んだもの。例えば Linux 上の US 英語での日付と時刻は Thu Jul 18 09:30:00 PDT 2019 となる。 |
時刻の変数
| フォーマット変数 | 説明 |
|---|---|
%Ez |
Splunk 固有のタイムゾーン (分単位)。 |
%f |
マイクロ秒を10進数で表す。 |
%Ez |
Splunk 固有のタイムゾーン (分単位)。 |
%H |
時(24時間時計)を10進数で表す。時間は00から23の値で表される。先頭にゼロをつけてもよいが、必須ではない。 |
%k |
Hと同様、時(24時間時計)を10進数で表す。先頭のゼロはスペースに置き換えられる。 |
%I |
大文字の 「i」。時(12時間時計) 01から12までの値で時間を表す。先頭にゼロをつけてもよいが、必須ではない。12時間時計のAMまたはPMを指定するには、%pと一緒に使用する。 |
%p |
AMまたはPM。AM または PM の 12 時間時計を指定するには、%I と一緒に使用する。Hとは使わないこと。 |
%M |
分を10進数で表す。分は00から59の値で表される。先頭のゼロはつけてもよいが必須ではない。 |
%N |
秒以下の桁数。デフォルトは%9N。3N = ミリ秒、%6N = マイクロ秒、%9N = ナノ秒を指定できる。 |
%Q |
UTC タイムスタンプの1秒未満のコンポーネント。デフォルトはミリ秒、%3Q。有効な値は下記:3Q = ミリ秒、値は 000 ~ 999 6Q = マイクロ秒(000000~999999の値 9Q = ナノ秒、値は000000000-99999999 |
%s |
UNIX Epoch タイムのタイムスタンプ、または1970-01-01 00:00:00 +0000 (UTC) からの秒数。例えばUNIXエポックタイム1484993700はTue Jan 21 10:15:00 2020に等しい。 |
%S |
秒を10進数で、例えば00から59まで。 |
%T |
24時間表記(%H:%M:%S)の時刻。例:23:59:59。 |
%X |
現在のロケールでの時刻。en-US の場合、9:30 AMの書式は9:30:00
|
%Z |
タイムゾーンの略称。例えばESTは米国東部標準時を表す。 |
%z |
UTCからのタイムゾーンの時差: +hhhmmまたは -hhhmm。例えば、UTCの5時間前は-0500となり、米国東部標準時となる。以下例。%z : -0500 %:z : -05:00 %::z : -05:00:00 %:::z : -5 |