В чем разница между StartTime и _time в Splunk?

Question

Я смотрел недавнее событие в Splunk с исходным типом WinHostMon и вижу два разных значения для StartTime и _time:

• StartTime = "20200427223006.448182-300"
• _time записывается как 2020-04-28T15: 38: 13.000-04: 00

Если последняя часть является часовым поясом, есть две странные вещи:

1. Часовой пояс для StartTime находится в середине Атлантиды c.
2. В действительности времена не совпадают.

Вопрос: Каково реальное время этого событие, если такая вещь действительно может быть определена, и что вызывает несоответствие между этими двумя моментами?

(Я пытался опубликовать это в ответах на Splunk, но, похоже, у них есть лабиринт, чтобы не дать людям зарегистрироваться. и я не смог получить активированный аккаунт.)

Answer 1

_time - это отметка времени события, то есть когда событие было сгенерировано или записано в файл журнала. Это поле, которое Splunk использует для сортировки и рендеринга по умолчанию в таблицах и временных диаграммах.

Для WinHostMon событий, прежде всего Process событий, StartTime - когда этот процесс запущен.

Следовательно, неудивительно, что эти события значительно отличаются. Процесс мог начаться в некоторый момент в прошлом, и тогда вход WinHostMon может генерировать список активных процессов каждые 5 минут или около того (или больше или меньше)

Answer 2

_time - это временная метка события, как определено в props.conf - или, если она не определена, всякий раз, когда Splunk получает событие (как часто случается с нетегированным JSON)

Поле StartTime насколько я могу судить, это не связано с заполнением _time

Если вы откроете надстройку props.conf, вы увидите, как они определяют временную метку и извлечение поля. для StartTime