Getting Data In
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

タイムスタンプ設定について

riri243
New Member
‎04-26-2020 07:49 AM

イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。

②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。

③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。

④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。

⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)

イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。,イベント内に日時の記載はあるものの、検索の際はSplunkに取り込んだ日時を使いたいです。
Splunkのイベントタイムスタンプは、以下に従い付与される認識です。
①イベント内に日時情報がある場合
props.confで「TIME_FORMAT」が指定されている場合明示された「TIME_FORMAT」を使ってイベント内の時刻や日付を探そうとします。
取り込むデータに対して「TIME_FORMAT」が無かった場合イベント内からタイムスタンプを認識しようとします。

②イベントに時刻と日付が無い場合
同じソースから取り込んだ直近のタイムスタンプを認識しようとします。

③どのイベントもソース内に日付情報を持たない場合
Splunkはソース名やファイル名から日付情報を抽出しようとします。

④ファイル名に日付情報が無い場合
ファイルの最終更新日時をタイムスタンプとして認識しようとします。

⑤上記1-5でもタイムスタンプを認識できない場合
Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)

イベント内に日時記載があっても、上記⑤のようにイベントのタイムスタンプはSplunkサーバのシステム時刻とすることは可能でしょうか。

0 Karma
Reply

tkomatsubara_sp
Splunk Employee
Splunk Employee
‎06-18-2020 03:35 PM

Splunkに取り込んだ時点での時間は、_indextime という隠しフィールドに時間が格納されています。

中身はエポック時間です。

これが使えるかどうか、試してみてください。

 

0 Karma
Reply

riri243
New Member
‎05-11-2020 06:15 PM

DATETIME_CONFIG=current
をprops.confに追加しましたが、ファイル内の日時が読み込まれてしまいます。
原因として何が考えられ、その対策を教えていただきたいです。

0 Karma
Reply

to4kawa
Ultra Champion
‎05-11-2020 07:58 PM

@riri243

複数のindexer , SHまたHeavy Forwarderとか使われていますか?
複数の機材がありますと、設定を各部にする必要があります。

0 Karma
Reply

riri243
New Member
‎05-12-2020 12:21 AM

SH使っています。
各部の設定が必要なようですが、指定indexのみこの設定にすることは可能でしょうか?

0 Karma
Reply

to4kawa
Ultra Champion
‎05-12-2020 01:35 AM

indexes.conf でそのindexに対するソースタイプの指定がされ
props.confでそのソースタイプに対するイベントやフィールド等の指定がなされるので、設定すれば可能です

ベンダーの方はどう言われていますか?

0 Karma
Reply

richgalloway
SplunkTrust
SplunkTrust
‎04-26-2020 10:53 AM

Yes, it is possible to set the event timestamp to the system time. Put DATETIME_CONFIG = current in your props.conf file.

はい、イベントのタイムスタンプをシステム時刻に設定できます。 DATETIME_CONFIG = currentをprops.confファイルに入れます。

---
If this reply helps you, Karma would be appreciated.
0 Karma
Reply
Get Updates on the Splunk Community!

Stay Connected: Your Guide to May Tech Talks, Office Hours, and Webinars!

Take a look below to explore our upcoming Community Office Hours, Tech Talks, and Webinars this month. This ...

They're back! Join the SplunkTrust and MVP at .conf24

With our highly anticipated annual conference, .conf, comes the fez-wearers you can trust! The SplunkTrust, as ...

Enterprise Security Content Update (ESCU) | New Releases

Last month, the Splunk Threat Research Team had two releases of new security content via the Enterprise ...