0

给定

  • 我有两个日志文件(file_1、file_2)
  • 每个来自不同的服务器(server_1、server_2)。
  • 服务器未通过 ntpd 进行属性同步。(例如:server_1 比 server_2 早 13 秒。)
  • 我没有能力调整或更正服务器时间。
  • 我是 Splunk 用户,而不是 Splunk 管理员。

问题:摄取每个日志文件后,事件关闭 13 秒(显然)。

问题:我能否将 source=file_2 中所有事件的 _time 调整 13 秒,以便事件在搜索结果、图表等中正确排列?

(注意:这是对更复杂问题的简单分解。我有来自数百台服务器的数千条日志。我不能简单地重新运行/创建这些日志。)

4

1 回答 1

1

您可以将 Splunk 时间戳设置为您想要的任何内容,只需覆盖这些事件的 _time 字段:

<any base search> source=file_2  | eval _time=_time+13

我们可以使用 eval if 语句来查看所有事件并仅更新 file_2 的时间

<any base search> | eval _time=if(source=="file_2", _time+13, _time)
于 2017-09-07T23:59:11.943 回答