Splunk中解决数据质量问题常见日期格式化

最新推荐文章于 2023-11-02 15:17:26 发布
最新推荐文章于 2023-11-02 15:17:26 发布
阅读量624 收藏
点赞数
分类专栏: Splunk 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/126246501
版权

在splunk索引数据时,会对数据进行一些自动的解析和提取,比如帮我们提取原始log里的日期,也会对某些格式的数据进行合并,将多行的数据合并为一条记录存储在splunk中,而这些自动提取的过程有时并不符合我们真实的业务逻辑,所以需要我们自己去配置;或者对于有些格式的数据,splunk自己也无法判断如何处理时可能就会出现各种解析错误。下面是总结的一些常见日期格式的格式化配置:

[case1]
#Event coming at Sat Jul 23 22:50:54 EDT 2022
TIME_FORMAT=%a %b %d %H:%M:%S %Z %Y
TIME_PREFIX=Event coming at

[case2]
#event中没有日期类型的
DATETIME_CONFIG=CURRENT

[case3]
#2022-07-26 05:35:36,456 INFO The event is coming.
#Please check event detials
TIME_PREFIX=^
TIME_FORMAT=%Y-%m-%d %H:%M:%S,%3N
LINE_BREAKER=([\r\n]+)\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3}\s
#如果event在合并时将多行log合并了,它可能会在第二行里匹配日期,这时就需要把LINE_BREAKER后面加上日期个正则表达式即可。

[case4]
#Jul 26, 2022 4:25:54 AM Event is coming.
#There is an exception...
TIME_PREFIX=^
TIME_FORMAT=%b %d, %Y %I:%M:%S %p
#这里要特别注意的是12小时制的小时用I来表示,24小时制的小时用H来表示;AM/PM用%p来表示。
LINE_BREAKER=([\r\n]+)\w{3} \d{2},
#这里同样要注
了解本专栏 订阅专栏 解锁全文 超级会员免费看
QYHuiiQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Splunk 不去解析 event 里面的时间
shenghuiping2001的专栏
12-21 567
Splunk 对Event 日志事件的时间戳 有独特的结局方法,包含 时间格式 和时区,还是很强大的。
Splunk12小时制AM/PM的日期转换
QYHuiiQ
02-23 595
Splunk对带有AM/PM的12小时制的日期格式转换成unix time时按照如下格式: | basesearch.... | eval test_time="23/02/2022 04:30:00:000 PM" | eval test_time_epoch=strptime(test_time, "%d/%m/%Y %I:%M:%S:%3N %p") #这里要注意的是在12小时制,小时是用I表示,24小时制用H表示,如果在12小时制写成了H,那么如果原始日期是PM的,转换的时候会转换
Splunk日期和时间格式变量
最新发布
qq_45800977的博客
11-02 492
本文列出了可以在函数strftime()和strptime()定义时间格式的变量,这些参数也可用来在事务数据描述时间戳。 另外可以使用relative_time()和now()函数作为参数。
Splunk设置正确的事件时间
Swime的博客
08-04 861
Splunk默认会将日志最先出现的时间作为事件的事件 例如,我这里有一笔防火墙日志 Mar 4 10:53:30 172.23.5.111 Mar 4 10:35:04 PA-3020 1,2019/03/04 10:35:03,001801037311,TRAFFIC,end,1,2019/03/04 10:35:03,172.23.4.49,10.29.4.192,0.0.0.0,0.0.0.0,Tap,,,msrpc-base,vsys1,Tap,Tap,ethernet1/12,etherne
splunk与日志分析
allinallp的博客
06-09 4043
splunk与日志分析splunk的使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk的使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作使用的一些思路。 splunk配置 打开splunk选择search&
splunk日志时间戳
hou_yi_tao的博客
09-10 737
上载本机数据乱码,时间与日志内容时间不同,因此需要自定义配置时间戳重新进行编码 自定义配置时间戳 进行重新编码
splunk如何获取今天的年月日
QYHuiiQ
06-06 363
| eval nowstring=strftime(now(), "%Y-%m-%d")
SPLUNK8.2.0文手册
03-18
2. **自定义输入插件**:对于不常见或特殊格式的数据,可以创建自定义输入插件,以确保SPLUNK能够正确解析和索引这些数据。 3. **数据转发**:SPLUNK允许数据在多个实例间转发,这在分布式环境尤其有用,可以实现...
Jmeter性能测试常见问题
05-05
5. **时间参数**:可以使用`__time()`函数结合格式化(如`__timeShift()`)来生成当前时间参数。 6. **随机参数**:JMeter提供多种函数如`__random()`或`__RandomString()`来生成随机值。 7. **事务控制器**:用于...
当天客户端日志数据压缩包
06-26
在IT行业,日志数据是系统运行过程必不可少的一部分,它记录了应用程序的活动、错误、警告和其他关键事件。"当天客户端日志数据压缩包"是一个集合,包含了特定日期客户端应用程序生成的所有日志信息,这些信息...
ADFA-LD数据
05-15
1. **日志解析**:首先,我们需要能够解析ADFA-LD包含的特定格式的日志文件,这通常需要编写特定的解析器或利用现有的工具,如Logstash、Splunk等,将原始日志数据转化为结构化的信息。 2. **数据预处理**:数据...
(已解决) splunk 查询时间显示问题
shenghuiping2001的专栏
09-27 1106
今天同事反映splunk 查询的时间splunk 页面上显示的不准确,特别是时间段是 "all time", 不仅仅是“last 24 hours" or "last 15 minutes", 原因找到,是页面上设置的是default timezone 的原因。 解决如下: 1:(找到账号下面的这个preferences). 2: 点开后,设置 Preference 后,设置文时区:然后save 保存。 3: 设置好后,就可以看到正确时间显示啦: 完美解决splunk 时间显示...
Splunk如何判断今天是周几
QYHuiiQ
03-19 521
splunk提供了判断今天是周几的语法: | makeresults | eval weekday = strftime(now(), "%a") //这里的%a就是splunk里提供的周几的判断 //如果在业务我们会遇到有些业务情况是只有工作日(周一~周五)有数据的,并且我们想根据今天的日期获取上一个工作日的日期,可以参考如下: | eval lastBusinessDate = if(weekday=="Mon", relative_time(now(),"@w5"), relat.
splunk spl语法笔记
QYHuiiQ
08-31 5688
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
python GMT时间格式转化
热门推荐
深海微澜
11-12 2万+
1、datetime类型转换成GMT时间格式的字符串(如'Thu, 19 Feb 2009 16:00:07 GMT'),strftime(官方释义:new string): from datetime import datetime GMT_FORMAT = '%a, %d %b %Y %H:%M:%S GMT+0800 (CST)' print(datetime.utcnow().st...
Splunk限定查询某一天的零点到与今天同一时间点的时间范围
QYHuiiQ
03-21 1345
Splunk有时我们会想要拿今天零点到当前时间点的这个时间段的数据与过去某一天的零点到与当前同一时分秒的时间段的数据做比较。 | eval _time=strptime(timestamp, "%Y-%m-%dT%H:%M:%S.%1Q%z") | eval start_time=strptime("2021-03-21"."T"."00:00:00 -0500", "%Y-%m-%dT%H:%M:%S.%1Q%z") | eval end_time=strptime("2021-03-21"."T.
js时间戳与日期格式的相互转换
Feast_aw的博客
08-01 2068
时间戳转时间 function timestampToTime(timestamp) { var date = new Date(timestamp * 1000);//时间戳为10位需*1000,时间戳为13位的话不需乘1000 var Y = date.getFullYear() + '-'; var M = (date.getMonth()+...
Splunk search命令
QYHuiiQ
03-06 2138
splunk的| search命令我们可能想要对base search数据和子查询数据进行一个筛选,比如说将base search某个字段与子查询某个字段进行对比筛选,一下面的测试为例: | base search ... ... | search [| inputlookup test.csv | fields name,age] #该例表明对base search数据的name和age字段与inputlookup的name和age进行对比,筛选出base sea
使用Splunk进行大数据分析
2. **数据处理**:介绍Splunk的事件处理机制,包括解析、字段提取和数据规范化,以提高数据质量和分析效率。 3. **搜索与查询语言**:详细阐述Splunk查询语言(SPL),学习如何编写复杂的查询来筛选、聚合和分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值