Splunk의 unix time

audit.log 연동. 소스타입 선택과 관계 없이 unix time을 잘 인식한다.

연동 결과. 나머지 필드 추출도 완벽.

props.conf에 필드 추출 유형이 정의되어 있지 않음에도 문제가 없는 이유는 원본 데이터가 전부 key=value 구조이기 때문.

혹시 필드 추출에 문제가 있다면 props.conf의 KV_MODE 옵션을 살펴보자.

참고로 unix time 수동 변환은 이렇게.

관련 글

• Splunk의 날짜 계산