Я пытаюсь извлечь временные метки для событий журнала, которые я пересылаю Splunk как файлы журнала json, и вместо того, чтобы правильно получать дату изнутри json, Splunk, похоже, получает timestamp из файла журнала Дата изменения. (это единственное datetime, которое соответствует, не так ли?)Splunk: Извлечь временную метку события из файла журнала json
json правильно отформатирован и проверен и сериализуется в строку с использованием Json.NET JsonConvert, поэтому мой json вокруг даты и времени выглядит так:
"Request": {
"TimestampUtc": "2015-11-09T14:33:53.3239117Z",
"Headers": {
Я установил SourceType = _json для моего UniversalForwarder в inputs.conf файл для Splunk_TA_windows, мониторинга каталога на жестком диске. Имена файлов журналов имеют формат service.log.json, а свойство TimestampUtc находится на 10-й строке, около 140 символов внутри объекта.
На сервере Splunk, props.conf по умолчанию имеет
[_json]
pulldown_type = true
INDEXED_EXTRACTIONS = json
KV_MODE = none
AUTO_KV_JSON = false
category = Structured
и местный props.conf имеет
[_json]
INDEXED_EXTRACTIONS = json
pulldown_type = true
KV_MODE = none
AUTO_KV_JSON = false
#TIMESTAMP_FIELDS = TimestampUtc
TIME_PREFIX=/"TimestampUtc": "/
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%7N%Z
#TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N
MAX_TIMESTAMP_LOOKAHEAD = 27
category = Structured
Может кто-то мне точку в правильную конфигурацию для этой добычи? Я пробовал несколько комбинаций, но безуспешно.