1秒毎に書き込まれるファイルをSplunkでモニタリングしていたところ、
00時00分00秒の書き込みだけSplunkに認識されませんでした。
(勿論、00時00分00秒のログへの書き込みは確認しています。)
因みにタイムスタンプはログに書き込まれる時間をタイムスタンプとして認識させています。
<00時00分00秒のログへの書き込み>
<Splunk Webでの検索結果>
なぜ00時00分00秒の書き込みだけ認識されないのでしょうか。
うまく認識させる方法はございますでしょうか。
また、そもそもで恐縮なのですが、検索時時間指定の"latest"で指定された時間は
検索結果に含まれないものなのでしょうか。
宜しくお願い致します。
2013年6月20日 追記
LANG=Cによる出力では正しく認識されました。
以下のAnswersを参考にしながら、datetime.xmlを作成したところ、全てのデータがうまく認識されました。
http://splunk-base.splunk.com/answers/6413/timestamp-problem-propsconf
データを取り込む際に以下の datetime.xml は使用しました。
以下のAnswersを参考にしながら、datetime.xmlを作成したところ、全てのデータがうまく認識されました。
http://splunk-base.splunk.com/answers/6413/timestamp-problem-propsconf
データを取り込む際に以下の datetime.xml は使用しました。
タイムスタンプの認識がうまくいっていないかもしれないですね。
日本国の時間表記の場合は、datetime.xml という設定ファイルでタイムスタンプのフォーマットを設定してやると、きれいに認識するとおもいます。
2013年6月20日追記
LANG=Cによる出力では00時00分00秒のログへの書き込みは正しく認識されました。・・・ダブルバイト(日本語)の場合ももう一度確認してみようと思います。