您需要在 Splunk 中提取时间字段,还是自动提取?
Do you need to extract the time field in Splunk, or is that automatic?
我正在使用 UI 将一些日志数据插入 Splunk。当我在 Splunk 中按 "Extract Fields" 时,我可以突出显示时间字段并输入该字段的名称,例如 "timestamp."
但是,我已经在源类型中指定了时间戳字段。这是否意味着我不必为每个事件手动提取时间戳字段?在 "Extract Fields > Select Fields" UI 中,我可以安全地忽略时间戳字段并使其不突出显示且没有名称吗?
Splunk 的添加数据和提取字段向导非常适合提取时间戳。也就是说,为每个源类型指定 TIME_PREFIX、TIME_FORMAT 和 MAX_TIMESTAMP_LOOKAHEAD 设置被认为是最佳实践。听起来您已经完成了其中的一些操作,因此没有必要在 UI.
中执行此操作
我正在使用 UI 将一些日志数据插入 Splunk。当我在 Splunk 中按 "Extract Fields" 时,我可以突出显示时间字段并输入该字段的名称,例如 "timestamp."
但是,我已经在源类型中指定了时间戳字段。这是否意味着我不必为每个事件手动提取时间戳字段?在 "Extract Fields > Select Fields" UI 中,我可以安全地忽略时间戳字段并使其不突出显示且没有名称吗?
Splunk 的添加数据和提取字段向导非常适合提取时间戳。也就是说,为每个源类型指定 TIME_PREFIX、TIME_FORMAT 和 MAX_TIMESTAMP_LOOKAHEAD 设置被认为是最佳实践。听起来您已经完成了其中的一些操作,因此没有必要在 UI.