イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。
②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。
③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。
④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。
⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)
イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。,イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。
②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。
③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。
④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。
⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)
イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。
... View more
