Splunk 中的 StartTime 和 _time 有什么区别?
What's the difference between StartTime and _time in Splunk?
我一直在查看 Splunk 中最近发生的一个源类型为 WinHostMon 的事件,我看到 StartTime 和 _time 有两个不同的值:
- StartTime="20200427223006.448182-300"
- _时间记录为2020-04-28T15:38:13.000-04:00
如果最后一部分是时区,这有两点很奇怪:
- StartTime 所在的时区在大西洋中部。
- 时间实际上不匹配。
问:这个事件实际发生的时间是什么时候,如果真的可以确定这样的事情,是什么导致这两个时间不一致的?
(我试图 post 在 Splunk Answers 上这样做,但他们似乎有一个迷宫来阻止人们注册,我无法获得激活的帐户。)
_time 是在 props.conf 中定义的事件的时间戳 - 或者,如果未定义,则每当 Splunk 收到事件时(通常发生在未标记的 JSON 中)
据我所知,字段 StartTime 与正在填充的内容无关 _time
如果您打开附加组件的 props.conf,您将看到它们如何定义 StartTime
的时间戳和字段提取
_time 是事件的时间戳,即事件产生或写入日志文件的时间。这是 Splunk 在表格和时间图表中用于默认排序和呈现的字段。
对于 WinHostMon 事件,尤其是 Process 事件,StartTime 是该进程开始的时间。
因此,这些事件显着不同也就不足为奇了。该进程可能在过去的某个时间点启动,然后 WinHostMon 输入可能每 5 分钟左右(或更多或更少)生成一个活动进程列表
我一直在查看 Splunk 中最近发生的一个源类型为 WinHostMon 的事件,我看到 StartTime 和 _time 有两个不同的值:
- StartTime="20200427223006.448182-300"
- _时间记录为2020-04-28T15:38:13.000-04:00
如果最后一部分是时区,这有两点很奇怪:
- StartTime 所在的时区在大西洋中部。
- 时间实际上不匹配。
问:这个事件实际发生的时间是什么时候,如果真的可以确定这样的事情,是什么导致这两个时间不一致的?
(我试图 post 在 Splunk Answers 上这样做,但他们似乎有一个迷宫来阻止人们注册,我无法获得激活的帐户。)
_time 是在 props.conf 中定义的事件的时间戳 - 或者,如果未定义,则每当 Splunk 收到事件时(通常发生在未标记的 JSON 中)
据我所知,字段 StartTime 与正在填充的内容无关 _time
如果您打开附加组件的 props.conf,您将看到它们如何定义 StartTime
_time 是事件的时间戳,即事件产生或写入日志文件的时间。这是 Splunk 在表格和时间图表中用于默认排序和呈现的字段。
对于 WinHostMon 事件,尤其是 Process 事件,StartTime 是该进程开始的时间。
因此,这些事件显着不同也就不足为奇了。该进程可能在过去的某个时间点启动,然后 WinHostMon 输入可能每 5 分钟左右(或更多或更少)生成一个活动进程列表