我在Splunk中查看了一个最近发生的事件,其sourcetype为WinHostMon,我看到StartTime和_time有两个不同的值。
如果最后一部分是时区,有两点很奇怪。
问题是:这个事件的实际时间是多少?这个事件的实际时间是什么 如果可以确定的话 是什么原因造成这两个时间的差异?
我试着在Splunk Answers上发帖,但他们似乎有一个迷宫,阻止人们注册,我无法获得一个激活的账户)。
_time 是事件的时间戳,即事件产生或写入日志文件的时间。这是Splunk在表格和时间图表中用于默认排序和渲染的字段。
对于 WinHostMon 事件,最主要 Process 活动。StartTime 是该过程开始的时间。
因此,这些事件有明显的不同也就不足为奇了。该过程可能是在过去的某个时间点开始的,然后是 WinHostMon 输入可以每5分钟左右(或更多或更少)生成一个活动进程列表
_time 是事件的时间戳,定义于 props.conf - 或者,如果未定义,每当Splunk接收到事件时(通常发生在未标记的JSON中)。
外地 StartTime 是--据我所知--与任何填充的东西无关。_time
如果您打开附加组件的 props.conf,你会看到他们是如何定义时间戳和字段提取的。StartTime