- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
タイムスタンプ設定について
イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。
②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。
③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。
④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。
⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)
イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。,イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。
②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。
③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。
④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。
⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)
イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Splunkに取り込んだ時点での時間は、_indextime という隠しフィールドに時間が格納されています。
中身はエポック時間です。
これが使えるかどうか、試してみてください。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
DATETIME_CONFIG=current
をprops.confに追加しましたが、ファイル内の日時が読み込まれてしまいます。
原因として何が考えられ、その対策を教えていただきたいです。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
@riri243
複数のindexer , SHまたHeavy Forwarderとか使われていますか?
複数の機材がありますと、設定を各部にする必要があります。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
SH使っています。
各部の設定が必要なようですが、指定indexのみこの設定にすることは可能でしょうか?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
indexes.conf でそのindexに対するソースタイプの指定がされ
props.confでそのソースタイプに対するイベントやフィールド等の指定がなされるので、設定すれば可能です
ベンダーの方はどう言われていますか?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
Yes, it is possible to set the event timestamp to the system time. Put DATETIME_CONFIG = current in your props.conf file.
はい、イベントのタイムスタンプをシステム時刻に設定できます。 DATETIME_CONFIG = currentをprops.confファイルに入れます。
If this reply helps you, Karma would be appreciated.
