props.confでTIME_PREFIX、MAX_TIMESTAMP_LOOKAHEADやTIME_FORMATなどを正しく定義したにも関わらず、検索結果に表示されるタイムスタンプ情報(_timeの情報)が実際のタイムスタンプと異なっています。
例えば、「2018 Jan 11 16:36:16」が「1970 Jan 1 12:05:43」として表示されます。
問題となり得る箇所はどこにあるかを教えて頂けますか?
English translation:
The timestamp information (_time information) displayed in the search result is different from the actual timestamp, even though TIME_PREFIX, MAX_TIMESTAMP_LOOKAHEAD, TIME_FORMAT, etc. were properly defined in props.conf.
For example, "2018 Jan 11 16:36:16" will be displayed as "1970 Jan 1 12: 05: 43".
Could you tell me where the problem can be?
FIELDALIASで_timeが使われている場合、検索時のタイムスタンプ情報が上書きされますので、props.conf内に_timeが使われれいるかを確認してみてください。
例:「FIELDALIAS-xxx = display_date AS _time ...」
FIELDALIASの詳細情報について以下のマニュアルに記載がありますので、あわせて確認してください。
http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Configurefieldaliaseswithprops.conf
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf
FIELDALIASで_timeが使われている場合、検索時のタイムスタンプ情報が上書きされますので、props.conf内に_timeが使われれいるかを確認してみてください。
例:「FIELDALIAS-xxx = display_date AS _time ...」
FIELDALIASの詳細情報について以下のマニュアルに記載がありますので、あわせて確認してください。
http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Configurefieldaliaseswithprops.conf
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf