bucket もしくは bin を利用して _tme を指定した時間の幅に分割した後、timechart マクロを使用すれば、タイムチャートを表示させることができます。
SPLの書き方
下記のSPLは、ログデータを1日毎に分割し、それぞれの時間内での dstip(通信先)毎の出現回数をカウントし表示させるSPLの例です。
sourcetype="fgt_traffic"
| bucket span=1d _time
| timechart count by dstip
実際に実行するとこうなります。
参考サイト:
・コアラでもわかるSplunkシリーズ 時間毎集計する(Qiita)
https://qiita.com/toshikawa/items/8fa44753bc8f2a4c9cb0