#splunk #splunk-query
#splunk #splunk-запрос
Вопрос:
Я проиндексировал данные в splunk, но я вижу, что _time (индексированное время) отображается неправильно.
Я проиндексировал эти данные 19 октября, но это показывает, что они проиндексированы 18 октября.
Пожалуйста, предложите, каким будет решение, или мне нужно вручную перезаписать ключ _time с текущим временем даты.
Спасибо
Комментарии:
1. В каком часовом поясе вы просматриваете , а в каком часовом поясе помечены данные ? Это происходит через HEC? Если это так,
_timeпо умолчанию используется любое время, в которое находится HEC, когда поступают данные.
Ответ №1:
_time — это не время, когда событие было проиндексировано — это _index_time . _time — это время, когда произошло событие, которое обычно отличается от того, когда оно было проиндексировано (из-за задержек при транспортировке / обработке).
Из вашего скриншота я вижу, что, как я полагаю, время события (поле «дата») отличается от _time. Это часто происходит, когда часовой пояс указан неверно или неправильно интерпретируется. Однако, если бы это имело место здесь, я бы ожидал, что разница между date и _time будет кратна 30 минутам.
Из того, что я вижу в вопросе, возможно, настройки props.conf заставляют Splunk интерпретировать неправильное поле как _time . Более тщательный осмотр показывает, что исходный тип заканчивается на «too_small». Это указывает на то, что Splunk не имеет определенных настроек для sourcetype, поэтому он пытается угадать, где находится временная метка (и, очевидно, ошибается).
Решение состоит в том, чтобы создать строку props.conf для sourcetype . Это должно быть что-то вроде этого:
[json]
TIME_PREFIX = date:
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 26
SHOULD_LINEMERGE = false
LINE_BREAKER = ([rn] )
TRUNCATE = 10000
Установите эти настройки в свой индексатор и перезапустите его. События, которые поступают после этого, должны иметь правильное время для них.