从Splunk检索结果时,我得到一个_time字段,其中包含以下值:
2016-08-26 12:50:03.000 GMT Daylight Time
由于我在英国并且遇到夏令时,我知道应该是+01:00的时区,但是,我找不到任何正确解析时区的方法。
Splunk声称使用TZ Database,但字符串GMT Daylight Time未出现在链接的维基百科文章中。
我可以说服Splunk使用ISO 8601格式吗?如果不这样,TZ字符串splunk是否使用了我不知道的标准格式?
就目前而言,看起来我将不得不构建和维护一个时区列表来正确解析消息,这似乎是一些不必要的努力。
如果它有帮助,我目前正在使用Arrow库来处理日期,但如果需要可以使用另一个。
根据评论中的要求:
我正在发布以下数据:
# self.filename is the path to the file I'm interested in. eg C:\Example.txt
# EventCode 4656 represents an access audit (raised when a file handle is requested)
{'search': 'search index=* EventCode=4656 Object_Name="{0}"| eval tztime = strftime(_time,"%Z") | sort -date'.format(
self.filename.replace('\\', '\\\\')),
'output_mode': 'json'}
到这个网址:
https://{server}:{port}/servicesNS/admin/search/search/jobs/export