Splunk - 按接收顺序导出事件

Splunk - Export events in received order

我正在使用从本地服务器收集日志的 Splunk 实例。 我注意到有些事件的顺序是错误的,例如,有些事件与 2020 年的日期相关联,而我肯定地知道——与本地日志进行交叉检查——它们是几天前产生的。

我无法从本地服务器检索所有日志,因此我想从 Splunk 导出日志,它们在从本地服务器执行后存储在那里。但是,导出(使用 | reverse 操作)会生成一个日志,其中大部分行的执行顺序都是正确的,但其中约 20% 的顺序是错误的。

有没有办法导出原始事件,按照它们被 Splunk 接收的顺序,而不是按照基于 Splunk 时间戳的顺序?

听起来您可能在解析时间戳时遇到问题,因此 Splunk 错误地将部分数据读取为 2020 年。检查 sourcetype 的 props.conf 设置以使其对数据正确.但这不是你问的问题。

Splunk 有一个名为 _indextime 的隐藏字段,用于存储事件写入磁盘的时间。您可以在此字段上排序,但必须先将其复制到 non-hidden 字段。

<your search>
| eval indexTime=_indextime
| sort + indexTime
...