Splunk의 timestamp

스플렁크는 datetime.xml을 이용해서 데이터의 timestamp 정보를 가져온다.

지원하지 않는 timestamp 포맷을 사용한다면 해당 파일 수정이 필요하지만, 그럴 일은 거의 없다는 게 스플렁크 입장. 그런데 인식 실패.

정상적으로 인식하면 이래야 하는데,

이렇게 들어온다.

혹시나 싶어 timestamp 포맷을 지정해줘도 아예 인식을 못함.

MAX_DAYS_AGO

스플렁크는 현재 시점으로부터 2,000일(default)내에 발생한 데이터만을 유효 데이터로 취급한다. 유효 기간이 지난 데이터는 정상적으로 인식하지 않는다는 것. 스플렁크 사용 초기에 겪었던 오류인데 그새 다 까먹음 설정 수정.

관련 글

• Splunk 시계열 차트와 timezone
• Bin time spans and local time