サイト内検索
セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
TOP
製品・サービス
仕様・技術情報
ソリューション
ユーザー事例
サポート
セミナー・コンテンツ
評価機申込・FAQ
資料請求
お問い合わせ
イベント・セミナー
オンデマンド動画

取り込みデータのタイムゾーンを認識する優先順位

公開日
2019.09.04
最終更新日
2024-01-11
バージョン
Splunk Enterprise 9.1.1
概要

Splunkではデータを取込む際に自動でタイムゾーンを認識して抽出する機能があります。
タイムゾーン抽出時の優先順位は以下の順番で評価します。

1.取り込みデータに記載されているタイムゾーン
2.props.confで指定されているタイムゾーン
3.フォワーダーのシステムタイムゾーン
4.インデクサーのシステムタイムゾーン

参考情報
内容

取り込みデータのタイムゾーンを認識する優先順位

Splunkは以下の項番1から優先的に取り込みデータのタイムゾーンを認識します。

  • 取り込みデータの1イベント内にタイムゾーン情報が記載されている場合
    (例: PST、-0800)、記載されているタイムゾーンで認識します。
  • props.confの「TZ」パラメーターで取り込むデータのタイムゾーンを指定している場合、指定されたタイムゾーンで認識します。
    ※ユニバーサルフォワーダーを利用している場合、インデクサーのprops.confが使用されます。
    ※ヘビーフォワーダーを利用している場合、ヘビーフォワーダーのprops.confが使用されます。
  • バージョン6.0以降のユニバーサルフォワーダー、又はヘビーフォワーダーを用いて取り込みを行っている場合、フォワーダーが動作しているOSのタイムゾーンで認識します。
  • インデクサーが動作しているOSのタイムゾーンで認識します。

以上

前のページへ