ログの論理的な時間はどこから来るのでしょうか? 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
ログの論理時間は、そのログで利用可能なデータによって、異なる場所から得ることができます。ログには、timestamp や Time のような、ログの論理時間のようなフィールドがあるかもしれません。しかし、Log Observerはログの論理時間を決定し、それを _time というフィールドに割り当てます。ログが既に _time というフィールドを含んでいる場合、Log Observerはそれを上書きします。
Log Observerは、各ログの論理時間を決定するために、以下の3つのルールを優先順位順に適用します:
イベントタイムプロセッサー、ログ処理ルールを使用して作成したルールによってマッチされ、解析された時間(詳細は イベントタイムプロセッサーを作成する を参照)。
HTTP Event Collector (HEC) プロトコルの一部として、イベント時刻として送信されるタイムスタンプ
ログイベントが Splunk Observability Cloud に到達した時刻
まず、Log Observerは一致するイベント時間プロセッサーをチェックします。一致するものがあれば、それが論理時間として使用されます。Log Observerは、ログの論理時間を決定するために作成したルールであるため、イベント時間プロセッサールールを最初に優先します。
イベント時間処理ルールにマッチするものがない場合、Log Observerはイベント時間としてHECプロトコルの一部として送られたタイムスタンプをチェックします。HECプロトコルのタイムスタンプがあれば、それがLog Observerのログの論理時間になります。
HEC プロトコルのタイムスタンプがない場合、Log Observer はログイベントが Splunk Observability Cloud に最初に到達した時刻をログの論理時刻として使用します。