我有一个关于事件如何到达 Splunk 等工具内部的问题。
目前,插件的工作方式似乎是将记录发送到相关的日志收集应用程序,将事件的时间戳放在纪元时间(位于事件的属性中)。
但是,在 Splunk 中,它似乎标记了它进入 Splunk 的事件时间。
因此,例如,我有一个两年前发生的事件,事件上的时间戳显示了这一点,SailPoint 显示了这一点(如果您深入了解该事件,即使 Splunk 也会显示这一点)。
但是,当我导入 Splunk 时,假设今天(2021 年 3 月 15 日),Splunk 将显示今天的事件时间戳,而不是实际事件发生的时间。
因此,当我进行分析时,我实际上无法根据 Splunk 的时间戳查找事件发生的时间(因为 Splunk 显示的是导入日期,而不是事件发生的时间):它实际上不会向我显示事件那发生在两年前。
Splunk 会将两年前发生的事件显示为今天发生的事件,因为那时来自 SailPoint 的事件被导入 Splunk。