我正在使用UI将一些日志数据插入Splunk。当我在Splunk中按下“提取字段”时,我可以突出显示时间字段并输入该字段的名称,例如“时间戳”。
但是,我已经在源类型中指定了timestamp字段。这是否意味着我不必为每个事件手动提取时间戳字段?在“提取字段>选择字段”用户界面中,我可以安全地忽略时间戳记字段并且不加名称地使其突出显示吗?
答案 0 :(得分:0)
Splunk的“添加数据”和“提取字段”向导非常适合提取时间戳。也就是说,为每种源类型指定TIME_PREFIX,TIME_FORMAT和MAX_TIMESTAMP_LOOKAHEAD设置被认为是最佳实践。听起来您已经完成了一些操作,因此无需在用户界面中进行操作。