如何解决Splunk显示错误的索引时间
我已经在splunk上建立了索引数据,但是我可以看到_time(索引时间)显示为错误的样子。
我已经在10月19日对这些数据建立了索引,但是这就像在10月18日对它进行了索引。
请提出解决方案,否则我需要用当前日期时间手动覆盖_time键。
谢谢
解决方法
_time不是不是索引事件的时间-_index_time。 _time是事件发生的时间,通常与它被索引的时间(由于传输/处理延迟)不同。
从您的屏幕快照中,我可以确定事件时间(“日期”字段)与_time不同。当时区不正确或解释不正确时,通常会发生这种情况。但是,如果是这种情况,我希望date和_time之间的差是30分钟的倍数。
根据我在问题中看到的内容,很可能props.conf设置导致Splunk将错误的字段解释为_time。仔细检查会发现源类型以“ too_small”结尾。这表明Splunk没有针对源类型的特定设置,因此它试图猜测时间戳记在哪里(显然弄错了)。
解决方案是为sourcetype创建一个props.conf节。应该是这样的:
[json]
TIME_PREFIX = date:
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 26
SHOULD_LINEMERGE = false
LINE_BREAKER = ([\r\n]+)
TRUNCATE = 10000
将此设置放在索引器上,然后重新启动。此后到达的事件应该有正确的时间。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。