data with no timestamp

스플렁크는 이벤트 내에서 시간 정보를 찾고, 없으면 이벤트 파일명에서 찾는다고 한다. 그런데 파일명에도 시간 정보가 없으면?

시간 정보가 없는 2,009개의 ids 로그 연동. 첫 257개의 로그를 하나의 이벤트로 인식한다.

샘플을 바꿔봤는데 전부 똑같다. 시간 정보가 없으면 무조건 첫 257개 로그를 하나의 이벤트로 인식.

원본 구조를 유지하려면 '이벤트 구분 정책 > 모든 행' 또는

'타임스탬프 > 현재' 옵션이 적용된 sourcetype을 만들어야 함.

관련 글

• Splunk 설정 변경
• Splunk의 데이터 전처리
• Splunk의 필드 처리 순서
• Splunk의 sourcetype 변경
• Splunk의 이벤트 단위 텍스트 필터