我有一个问题,关于事件如何到达Splunk这样的工具内部。
目前,插件的工作方式似乎是将记录发送到有问题的日志收集应用程序,将事件的时间戳放在epoch时间(位于事件的属性中(。
然而,在斯普伦克,它似乎在标记它进入斯普伦克的事件时间。
例如,我有一个两年前发生的事件,事件上的时间戳显示了这一点,SailPoint也显示了这(如果你深入了解该事件,即使是Splunk也会显示这一点(。
然而,当我导入Splunk时,假设今天(2021年3月15日(,Splunk将显示今天的事件时间戳,而不是实际事件发生的时间戳。
因此,当我进行分析时,我实际上无法根据Splunk的时间戳来查找事件发生的时间(因为Splunk显示的是导入日期,而不是事件发生的日期(:它实际上不会向我显示两年前发生的事件。
斯普伦克将把两年前发生的事件作为今天发生的事件来展示,因为那是SailPoint的事件被导入斯普伦克的时候。
听起来事件日期被设置为索引日期
设置时间戳的props.conf是什么样子的?
根据您的意见,您应该在TA的local/props.conf:中添加以下内容
TIME_PREFIX="created":
TIME_FORMAT=%s$3N