问题描述
目前,插件的工作方式似乎是将记录发送到有问题的日志收集应用程序,将事件的时间戳放在纪元时间(位于事件的属性中)。
>但是,似乎在 Splunk 中,它正在标记它进入 Splunk 的事件时间。
例如,我有一个发生在两年前的事件,事件上的时间戳显示了这一点,而 SailPoint 显示了这一点(如果您深入研究该事件,即使 Splunk 也会显示这一点)。
但是,当我导入 Splunk 时,假设今天(2021 年 3 月 15 日),Splunk 将显示 今天 的事件时间戳,而不是实际事件发生的时间。
因此,当我进行分析时,我实际上无法根据 Splunk 的时间戳查找事件发生的时间(因为 Splunk 显示的是导入日期,而不是事件发生的时间):它实际上不会向我展示两年前发生的事件。
Splunk 会将两年前发生的事件显示为今天发生的事件,因为那时来自 SailPoint 的事件被导入 Splunk。
解决方法
听起来好像事件日期被设置为索引日期
您的 props.conf 在设置 timestamp 时是什么样子的?
根据您的评论,您应该在 TA 的 local/props.conf 中添加以下内容:
TIME_PREFIX=\"created\":
TIME_FORMAT=%s$3N