我有一个任务可以为日志文件建立索引,其中的时间戳看起来像这样:Jan 13 03:43:31.662,没有年份指示。我无法更改此设置,生成这些日志的应用程序不允许这样做。
Jan 13 03:43:31.662
所以,Splunk能够附加当前年份吗?一年中的事件之间是否会发生冲突?
是,如果未指定年份,Splunk将使用当前年份。只需将TIME_FORMAT = %b %d %H:%M:%S.%3N放在props.conf文件中即可。
TIME_FORMAT = %b %d %H:%M:%S.%3N
没有碰撞的危险。