ログの論理的な時間はどこから来るのでしょうか? 🔗
ログの論理時間は、そのログで利用可能なデータによって、異なる場所から得ることができます。ログには、timestamp や Time のような、ログの論理時間のようなフィールドがあるかもしれません。しかし、Log Observerはログの論理時間を決定し、それを _time というフィールドに割り当てます。ログが既に _time というフィールドを含んでいる場合、Log Observerはそれを上書きします。
Log Observer applies the following two rules, in priority order, to determine each log’s logical time:
HTTP Event Collector (HEC) プロトコルの一部として、イベント時刻として送信されるタイムスタンプ
ログイベントが Splunk Observability Cloud に到達した時刻
まず、Log Observerは一致するイベント時間プロセッサーをチェックします。一致するものがあれば、それが論理時間として使用されます。Log Observerは、ログの論理時間を決定するために作成したルールであるため、イベント時間プロセッサールールを最初に優先します。
イベント時間処理ルールにマッチするものがない場合、Log Observerはイベント時間としてHECプロトコルの一部として送られたタイムスタンプをチェックします。HECプロトコルのタイムスタンプがあれば、それがLog Observerのログの論理時間になります。
HEC プロトコルのタイムスタンプがない場合、Log Observer はログイベントが Splunk Observability Cloud に最初に到達した時刻をログの論理時刻として使用します。