我一直在查看源类型为WinHostMon的Splunk中的最近事件,并且我看到StartTime和_time的两个不同值:
如果最后一部分是时区,那么有两件事很奇怪:
问题:该事件的实际发生时间是多少,如果可以实际确定这种情况,是什么原因导致这两次发生差异?
(我曾尝试将其发布在Splunk Answers上,但他们似乎迷宫般阻止人们注册,因此我无法获得已激活的帐户。)
答案 0 :(得分:1)
_time是事件的时间戳,即事件生成或写入日志文件的时间。这是Splunk用于在表格和时间表中进行默认排序和呈现的字段。
对于WinHostMon事件,最著名的Process事件,StartTime是该过程开始的时间。
WinHostMon输入可能每隔5分钟左右(或多或少)生成一个活动进程的列表
答案 1 :(得分:0)
_time是props.conf中定义的事件的时间戳-或者,如果未定义,则Splunk接收到该事件(通常在未加标签的JSON中发生)
据我所知,字段StartTime是-与填充_time的内容无关
如果打开附件的props.conf,您将看到他们如何定义StartTime的时间戳和字段提取