Вам нужно извлечь поле времени в Splunk, или это автоматически?

Question

Я использую пользовательский интерфейс для вставки некоторых данных журнала в Splunk.Когда я нажимаю «Извлечь поля» в Splunk, я могу выделить поле времени и ввести имя для этого поля, например «timestamp».

Однако я уже указал поле timestamp втип источника.Означает ли это, что мне не нужно вручную извлекать поле метки времени для каждого события?Могу ли я безопасно игнорировать пользовательский интерфейс «Извлечь поля> Выбрать поля» и оставить поле метки времени без выделения?

Answer 1

Мастера добавления данных и извлечения полей Splunk очень хорошо умеют извлекать временные метки.Тем не менее, считается наилучшей практикой указывать настройки TIME_PREFIX, TIME_FORMAT и MAX_TIMESTAMP_LOOKAHEAD для каждого типа источника.Похоже, вы уже кое-что сделали, поэтому нет необходимости делать это в пользовательском интерфейсе.