Question

У меня есть задача индексировать файл журнала, где отметка времени выглядит следующим образом: Jan 13 03:43:31.662, нет указания года. У меня нет средств изменить это, приложение, генерирующее те журналы, не позволяет это.

Итак, может ли Splunk добавить текущий год? Будет ли столкновение между событиями через год?

RichG · Answer 1 · 15 января 2020

Да, Splunk будет использовать текущий год, если он не указан. Просто поместите TIME_FORMAT = %b %d %H:%M:%S.%3N в ваш файл props.conf.

Опасности столкновения нет.

Как будет индексироваться событие без индикатора года?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как будет индексироваться событие без индикатора года?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы