我来帮你调整这个查询～你当前用earliest=-24h@h是取过去24小时的数据，这就会出现比如现在是下午3点，数据范围是昨天下午3点到今天下午3点的情况，并不是你想要的“从今日午夜到现在”的自然日范围。

只需要把时间范围参数改一下就行，直接用Splunk的时间宏@d来指定今日起始时间，修改后的完整查询如下：

index="test" "custom.message=Failed to move element" earliest=@d latest=now 
| timechart span=1h count by index

这里给你拆解下关键变化：

• earliest=@d：这个时间宏会精准定位到**今日0点（午夜）**的时间戳，是Splunk里专门用来取自然日起始的常用写法
• latest=now：保持不变，依然代表当前时刻

另外给你补个小技巧：如果之后需要查询“昨日全天”的数据，也可以用类似的写法earliest=-1d@d latest=@d，这种基于自然日的时间宏比固定小时数更灵活，不会因为当前查询的时间点导致数据范围不符合预期哦～