Splunk - Réglage de l'horodatage du fichier source

Question

Compte tenu:

• J'ai deux fichiers journaux (de file_1, file_2)
• chacun d'un autre serveur (de serveur_1, server_2).
• Les serveurs n'ont pas de propriété synchronisée via ntpd. (Exemple: serveur_1 a 13 secondes d'avance sur le serveur_2.)
• Je n'ai pas la possibilité d'ajuster ou de corriger les heures du serveur.
• Je suis l'utilisateur Splunk, pas l'administrateur Splunk.

Problème: Après l'ingestion de chacun des fichiers journaux, les événements sont éteints de 13 secondes (évidemment).

Question: Puis-je ajuster le _time pour tous les événements dans source = file_2 de 13 secondes afin que les événements s'alignent correctement dans les résultats de recherche, les graphiques, etc.?

(Note:.. C'est une simple pause vers le bas du problème plus complexe que j'ai des milliers de journaux des centaines de serveurs, je ne peux pas simplement re-run/créer ces journaux.)

Answer 1

Vous pouvez faire définir l'horodatage Splunk à ce que vous voulez simplement remplacerez le champ _Heure pour ces événements:

<any base search> source=file_2 | eval _time=_time+13 

Nous pouvons utiliser un eval instruction if pour afficher tous les événements et mettre à jour l'heure seulement pour file_2

<any base search> | eval _time=if(source=="file_2", _time+13, _time)