Solved: 日本語を含むタイムスタンプの設定方法

msgtrk · ‎04-14-2013

以下のような日本語を含むタイムスタンプをSplunkに認識させるにはどのような設定が必要ですか？

金 3月 22 11:24:40 2013: Total time in the report period (60.000671s): 0.048412s
金 3月 22 11:25:40 2013: Total time in the report period (59.999630s): 0.000000s
金 3月 22 11:26:40 2013: Total time in the report period (59.999813s): 0.000000s

melonman · ‎04-16-2013

データプレビューのページで、
・タイムスタンプの直前パターン
・タイムスタンプのフォーマット
を指定することで認識させることができます。

TIME_FORMAT = %m月 %d %H:%M:%S
TIME_PREFIX = ^\W\s

実際のサーチもCLIからですが、以下のように認識されます。

別の方法ですが、datetime.xmlを用いて日付を認識させることが可能となります。
手順としては、
１．$SPLUNK_HOME/etcのdatetime.xmlをカスタマイズもしくは別の定義ファイルを作成
２．別の定義ファイルを作成した場合には、データ入力の設定時にDATETIME_CONFIGパラメータで指定。
となります。

ご参考
http://docs.splunk.com/Documentation/Splunk/latest/Data/Configuretimestamprecognition

View solution in original post

msgtrk · ‎04-16-2013

回答ありがとうございます。
無事、認識させることができました！

melonman · ‎04-16-2013

データプレビューのページで、
・タイムスタンプの直前パターン
・タイムスタンプのフォーマット
を指定することで認識させることができます。

TIME_FORMAT = %m月 %d %H:%M:%S
TIME_PREFIX = ^\W\s

実際のサーチもCLIからですが、以下のように認識されます。

別の方法ですが、datetime.xmlを用いて日付を認識させることが可能となります。
手順としては、
１．$SPLUNK_HOME/etcのdatetime.xmlをカスタマイズもしくは別の定義ファイルを作成
２．別の定義ファイルを作成した場合には、データ入力の設定時にDATETIME_CONFIGパラメータで指定。
となります。

ご参考
http://docs.splunk.com/Documentation/Splunk/latest/Data/Configuretimestamprecognition

melonman · ‎04-16-2013

サーチはCLIではなくて、GUIからでした…失礼しました

日本語を含むタイムスタンプの設定方法

.conf25 Community Recap

Splunk App Developers | .conf25 Recap & What’s Next

Congratulations to the 2025-2026 SplunkTrust!

Are you a member of the Splunk Community?

日本語を含むタイムスタンプの設定方法

.conf25 Community Recap

Splunk App Developers | .conf25 Recap & What’s Next

Congratulations to the 2025-2026 SplunkTrust!