查詢被動主機被刪除？

有人可以幫助我刪除splunk中的被動主機。我使用的查詢是：查詢被動主機被刪除？

| metadata type=hosts 
| sort recentTime 
| convert ctime(recentTime) as Latest

2016-12-28 kenny

你應該比較當前時間recentTime，制定出差異與閾值相比較的差異，以確定這些主機

例子查詢：

| metadata type=hosts | eval diff=now()-recentTime | eval threshold=3600 | where diff>threshold

注：查詢未測試，但您應該明白

2017-01-11 13:55:24 user2207243

回答