Solved: 00時00分00秒のイベントが取り込まれない

sunrise · ‎06-17-2013

1秒毎に書き込まれるファイルをSplunkでモニタリングしていたところ、
00時00分00秒の書き込みだけSplunkに認識されませんでした。
（勿論、00時00分00秒のログへの書き込みは確認しています。）
因みにタイムスタンプはログに書き込まれる時間をタイムスタンプとして認識させています。

＜00時00分00秒のログへの書き込み＞

＜Splunk Webでの検索結果＞

なぜ00時00分00秒の書き込みだけ認識されないのでしょうか。
うまく認識させる方法はございますでしょうか。

また、そもそもで恐縮なのですが、検索時時間指定の"latest"で指定された時間は
検索結果に含まれないものなのでしょうか。
宜しくお願い致します。

2013年6月20日追記
LANG=Cによる出力では正しく認識されました。

cwl · ‎06-26-2013

以下のAnswersを参考にしながら、datetime.xmlを作成したところ、全てのデータがうまく認識されました。

http://splunk-base.splunk.com/answers/6413/timestamp-problem-propsconf

データを取り込む際に以下の datetime.xml は使用しました。

View solution in original post

cwl · ‎06-26-2013

以下のAnswersを参考にしながら、datetime.xmlを作成したところ、全てのデータがうまく認識されました。

http://splunk-base.splunk.com/answers/6413/timestamp-problem-propsconf

データを取り込む際に以下の datetime.xml は使用しました。

Splunk_Shinobi · ‎06-20-2013

タイムスタンプの認識がうまくいっていないかもしれないですね。
日本国の時間表記の場合は、datetime.xml という設定ファイルでタイムスタンプのフォーマットを設定してやると、きれいに認識するとおもいます。

sunrise · ‎06-19-2013

2013年6月20日追記
LANG=Cによる出力では00時00分00秒のログへの書き込みは正しく認識されました。・・・ダブルバイト（日本語）の場合ももう一度確認してみようと思います。

00時00分00秒のイベントが取り込まれない

Say goodbye to manually analyzing phishing and malware threats with Splunk Attack ...

AppDynamics is now part of Splunk Ideas

Advanced Splunk Data Management Strategies