Splunk - 调整源文件时间戳

时间:2017-09-05 23:11:32

标签: timestamp splunk adjustment

鉴于

  • 我有两个日志文件(file_1,file_2)
  • 每个来自不同的服务器(server_1,server_2)。
  • 服务器不是通过ntpd进行属性同步的。 (例如:server_1比server_2提前13秒。)
  • 我无法调整或更正服务器时间。
  • 我是Splunk用户,而不是Splunk管理员。

问题:在摄取每个日志文件后,事件关闭了13秒(显然)。

问题:我可以将source = file_2中所有事件的_time调整13秒,以便事件在搜索结果,图表等中正确排列吗?

(注意:这是对更复杂问题的简单分解。我有来自数百台服务器的数千条日志。我不能简单地重新运行/创建这些日志。)

1 个答案:

答案 0 :(得分:1)

您可以将Splunk时间戳设置为您想要的任何内容,只需覆盖这些事件的_time字段:

<any base search> source=file_2  | eval _time=_time+13

我们可以使用eval if语句查看所有事件并仅更新file_2的时间

<any base search> | eval _time=if(source=="file_2", _time+13, _time)
相关问题
最新问题