Getting Data In
cancel
Turn on suggestions
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

タイムスタンプ設定について

riri243
New Member
‎04-26-2020 07:49 AM

イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。

②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。

③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。

④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。

⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)

イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。,イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。

②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。

③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。

④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。

⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)

イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎06-18-2020 03:35 PM

Splunkに取り込んだ時点での時間は、_indextime という隠しフィールドに時間が格納されています。

中身はエポック時間です。

これが使えるかどうか、試してみてください。

 

0 Karma
Reply

riri243
New Member
‎05-11-2020 06:15 PM

DATETIME_CONFIG=current
をprops.confに追加しましたが、ファイル内の日時が読み込まれてしまいます。
原因として何が考えられ、その対策を教えていただきたいです。

0 Karma
Reply

to4kawa
Ultra Champion
‎05-11-2020 07:58 PM

@riri243

複数のindexer , SHまたHeavy Forwarderとか使われていますか?
複数の機材がありますと、設定を各部にする必要があります。

0 Karma
Reply

riri243
New Member
‎05-12-2020 12:21 AM

SH使っています。
各部の設定が必要なようですが、指定indexのみこの設定にすることは可能でしょうか?

0 Karma
Reply

to4kawa
Ultra Champion
‎05-12-2020 01:35 AM

indexes.conf でそのindexに対するソースタイプの指定がされ
props.confでそのソースタイプに対するイベントやフィールド等の指定がなされるので、設定すれば可能です

ベンダーの方はどう言われていますか?

0 Karma
Reply

richgalloway
SplunkTrust
SplunkTrust
‎04-26-2020 10:53 AM

Yes, it is possible to set the event timestamp to the system time. Put DATETIME_CONFIG = current in your props.conf file.

はい、イベントのタイムスタンプをシステム時刻に設定できます。 DATETIME_CONFIG = currentをprops.confファイルに入れます。

---
If this reply helps you, Karma would be appreciated.
0 Karma
Reply
Get Updates on the Splunk Community!

Get Schooled with Splunk Education: Explore Our Latest Courses

At Splunk Education, we’re dedicated to providing incredible learning experiences that cater to every skill ...

Splunk AI Assistant for SPL | Key Use Cases to Unlock the Power of SPL

Splunk AI Assistant for SPL | Key Use Cases to Unlock the Power of SPL  The Splunk AI Assistant for SPL ...

Buttercup Games: Further Dashboarding Techniques (Part 5)

This series of blogs assumes you have already completed the Splunk Enterprise Search Tutorial as it uses the ...
Top