Getting Data In
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

日時情報の抽出方法について

cwl
Contributor
‎11-10-2014 05:59 AM

ログ内の日付と時刻が続けて表示されていない場合、どのように抽出すれば良いでしょうか。

例えば、以下のように日時情報が030216の部分で、つまり、03時02分16秒となっていまして、日付情報が120814の部分で、つまり、12日8月2014年となっている場合、Splunkをどのように設定すれば、インデックス後のイベントの_timeが2014/08/12 03:02:16になりますでしょうか。 

$GPRMC,030216,B,2307.103231,S,1212.321123,W,0,0,120814,,*2b
Tags (2)
Reply
1 Solution
Solved! Jump to solution
Solution

Suda
Communicator
‎11-11-2014 05:36 PM

以下の設定で、日付と時刻が続けて表示されない場合でも、日時情報を抽出して、_timeとして利用できます。ご確認ください。

[your_sourcetype]
INDEXED_EXTRACTIONS=csv
KV_MODE=none
SHOULD_LINEMERGE=false
disabled=false
pulldown_type=true
FIELD_NAMES=f01,f02,f03,f04,f05,f06,f07,f08,f09,f10,f11,f12
TIME_FORMAT=%d%m%y %H%M%S
TIMESTAMP_FIELDS=f10,f02

ポイントは、CSV形式で取り込むことです。

TIMESTAMP_FIELDSが利用できるようになり、離れて存在しているフィールドをタイムスタンプとして組み合わせて利用できます。
Splunk 6.2.0で期待動作となる事を確認しました。ちなみに、Splunk 6.2.0では、この設定をデータを取り込む際に、GUI上で確認しながら設定できます。

参考になれば幸いです。

View solution in original post

Reply
Solved! Jump to solution

cwl
Contributor
‎11-11-2014 07:39 PM

Sudaさんから回答を頂きましたやり方以外にも、datetime.xmlを使うことでできた方法がありましたので、共有させて頂きます。

まず、以下のprops.confを作成します。

[custom_time_extraction] 
SHOULD_LINEMERGE = false 
DATETIME_CONFIG = /etc/custom_time_extraction_datetime.xml 
MAX_TIMESTAMP_LOOKAHEAD = 100

そして、「SPLUNK_HOME/etc」の配下に以下のcustom_time_extraction_datetime.xmlファイルを作成することで正しく日時情報を抽出することができました。

<datetime> 
<define name="custom_datetime" extract="hour, minute, second, day, month, year"> 
<text><![CDATA[^\$\w+,(\d\d)(\d\d)(\d\d),(?:\S*,){7}(\d\d)(\d\d)(\d\d)]]></text> 
</define> 
<timePatterns> 
<use name="custom_datetime"/> 
</timePatterns> 
<datePatterns> 
<use name="custom_datetime"/> 
</datePatterns> 
</datetime>
Reply
Solved! Jump to solution
Solution

Suda
Communicator
‎11-11-2014 05:36 PM

以下の設定で、日付と時刻が続けて表示されない場合でも、日時情報を抽出して、_timeとして利用できます。ご確認ください。

[your_sourcetype]
INDEXED_EXTRACTIONS=csv
KV_MODE=none
SHOULD_LINEMERGE=false
disabled=false
pulldown_type=true
FIELD_NAMES=f01,f02,f03,f04,f05,f06,f07,f08,f09,f10,f11,f12
TIME_FORMAT=%d%m%y %H%M%S
TIMESTAMP_FIELDS=f10,f02

ポイントは、CSV形式で取り込むことです。

TIMESTAMP_FIELDSが利用できるようになり、離れて存在しているフィールドをタイムスタンプとして組み合わせて利用できます。
Splunk 6.2.0で期待動作となる事を確認しました。ちなみに、Splunk 6.2.0では、この設定をデータを取り込む際に、GUI上で確認しながら設定できます。

参考になれば幸いです。

Reply
Solved! Jump to solution

Suda
Communicator
‎11-11-2014 05:51 PM

TIME_FORMATが間違っていたので、Accepted Answerいただいた後に変更しました。現在の設定でご確認ください。

0 Karma
Reply
Solved! Jump to solution

cwl
Contributor
‎11-11-2014 05:49 PM

情報どうもありがとうございます。大変参考になりました!

0 Karma
Reply
Get Updates on the Splunk Community!

Enterprise Security Content Update (ESCU) | New Releases

In December, the Splunk Threat Research Team had 1 release of new security content via the Enterprise Security ...

Why am I not seeing the finding in Splunk Enterprise Security Analyst Queue?

(This is the first of a series of 2 blogs). Splunk Enterprise Security is a fantastic tool that offers robust ...

Index This | What are the 12 Days of Splunk-mas?

December 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...