サイト内検索
セキュリティ事業メニュー
セキュリティ事業
HOME
選ばれる
理由
サービス
取扱メーカー
事例・レポート・
ブログ・用語集
セミナー・
オンデマンド動画
TOP
製品・サービス
仕様・技術情報
ソリューション
ユーザー事例
サポート
セミナー・コンテンツ
評価機申込・FAQ
資料請求
お問い合わせ
イベント・セミナー
オンデマンド動画

タイムスタンプを認識する順番

公開日
2018-06-18
最終更新日
2024-01-11
バージョン
Splunk Enterprise 9.0.0
概要
タイムスタンプを認識する順番・仕様を説明しています。
参考情報
内容

タイムスタンプを認識する順番・仕様

Splunkは以下の順番でタイムスタンプを認識しようとします。

  • イベント内に日時情報がある場合

①props.confで「TIME_FORMAT」が指定されている場合
 明示された「TIME_FORMAT」を使ってイベント内のタイムスタンプを探そうとします。

②props.confで「TIME_FORMAT」が指定されていない場合
 イベント内からタイムスタンプを認識しようとします。

  • イベント内に日時情報がない場合

同じソースから取り込んだ直近のタイムスタンプを認識しようとします。

  • ソース内に日時情報がない場合

Splunkはソース名やファイル名からタイムスタンプを認識しようとします。

  • ファイル名に日時情報がない場合

ファイルの最終更新日時をタイムスタンプとして認識しようとします。

  • datetime.xmlを使用して、イベントからタイムスタンプを認識しようとします。
  • 上記1-5でもタイムスタンプを認識できない場合

Splunkサーバーのシステム時刻をタイムスタンプとして認識します。
(取り込んだ時間=そのイベントのタイムスタンプ)

以上

前のページへ