Splunk中解决数据质量问题常见日期格式化

于 2022-08-09 20:15:00 发布
阅读量665 收藏
点赞数
分类专栏: Splunk 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qyhuiiq/article/details/126246501
版权
本文介绍了在Splunk中处理数据质量时遇到的日期格式化问题。Splunk在索引数据时的自动解析可能不匹配业务逻辑,导致需要自定义配置。文中总结了常见日期格式的配置方法,并提示参考官方文档以获取更详细的解决方案。
摘要由CSDN通过智能技术生成

在splunk索引数据时,会对数据进行一些自动的解析和提取,比如帮我们提取原始log里的日期,也会对某些格式的数据进行合并,将多行的数据合并为一条记录存储在splunk中,而这些自动提取的过程有时并不符合我们真实的业务逻辑,所以需要我们自己去配置;或者对于有些格式的数据,splunk自己也无法判断如何处理时可能就会出现各种解析错误。下面是总结的一些常见日期格式的格式化配置:

[case1]
#Event coming at Sat Jul 23 22:50:54 EDT 2022
TIME_FORMAT=%a %b %d %H:%M:%S %Z %Y
TIME_PREFIX=Event coming at

[case2]
#event中没有日期类型的
DATETIME_CONFIG=CURRENT

[case3]
#2022-07-26 05:35:36,456 INFO The event is coming.
#Please check event detials
TIME_PREFIX=^
TIME_FORMAT=%Y-%m-%d %H:%M:%S,%3N
LINE_BREAKER=([\r\n]+)\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3}\s
#如果event在合并时将多行log合并了,它可能会在第二行里匹配日期,这时就需要把LINE_BREAKER后面加上日期个正则表达式即可。

[case4]
#Jul 26, 2022 4:25:54 AM Event is comin
了解本专栏 订阅专栏 解锁全文 超级会员免费看
QYHuiiQ
关注
专栏目录
订阅专栏
Splunk12小时制AM/PM的日期转换
QYHuiiQ
02-23 618
Splunk对带有AM/PM的12小时制的日期格式转换成unix time时按照如下格式: | basesearch.... | eval test_time="23/02/2022 04:30:00:000 PM" | eval test_time_epoch=strptime(test_time, "%d/%m/%Y %I:%M:%S:%3N %p") #这里要注意的是在12小时制,小时是用I表示,24小时制用H表示,如果在12小时制写成了H,那么如果原始日期是PM的,转换的时候会转换
Splunk】日期和时间格式变量
最新发布
qq_45800977的博客
11-02 572
本文列出了可以在函数strftime()和strptime()定义时间格式的变量,这些参数也可用来在事务数据描述时间戳。 另外可以使用relative_time()和now()函数作为参数。
Splunk设置正确的事件时间
Swime的博客
08-04 894
Splunk默认会将日志最先出现的时间作为事件的事件 例如,我这里有一笔防火墙日志 Mar 4 10:53:30 172.23.5.111 Mar 4 10:35:04 PA-3020 1,2019/03/04 10:35:03,001801037311,TRAFFIC,end,1,2019/03/04 10:35:03,172.23.4.49,10.29.4.192,0.0.0.0,0.0.0.0,Tap,,,msrpc-base,vsys1,Tap,Tap,ethernet1/12,etherne
splunk与日志分析
allinallp的博客
06-09 4181
splunk与日志分析splunk的使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk的使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作使用的一些思路。 splunk配置 打开splunk选择search&
splunk日志时间戳
hou_yi_tao的博客
09-10 770
上载本机数据乱码,时间与日志内容时间不同,因此需要自定义配置时间戳重新进行编码 自定义配置时间戳 进行重新编码
SPLUNK8.2.0文手册
03-18
2. **自定义输入插件**:对于不常见或特殊格式的数据,可以创建自定义输入插件,以确保SPLUNK能够正确解析和索引这些数据。 3. **数据转发**:SPLUNK允许数据在多个实例间转发,这在分布式环境尤其有用,可以实现...
splunk api手册
10-18
- **日期和时间格式**:在处理涉及时间戳的数据时,了解 Splunk 如何识别和处理日期时间格式至关重要。 - **数据类型列表**:手册还包含了 Splunk 支持的数据类型的详细介绍,这对于正确解析和处理数据非常重要。 ...
Snort与Splunk整合配置及数据可视化实战
# 1. 理解Snort和Splunk ## 1.1 Snort简介 ### 1.1.1 Snort的功能和特点 Snort是一个开源的网络入侵检测系统(NIDS),具有实时的网络流量分析...Splunk是一款数据分析和可视化的平台,支持各种数据源的收集、索引和
splunk如何获取今天的年月日
QYHuiiQ
06-06 378
| eval nowstring=strftime(now(), "%Y-%m-%d")
(已解决) splunk 查询时间显示问题
shenghuiping2001的专栏
09-27 1155
今天同事反映splunk 查询的时间splunk 页面上显示的不准确,特别是时间段是 "all time", 不仅仅是“last 24 hours" or "last 15 minutes", 原因找到,是页面上设置的是default timezone 的原因。 解决如下: 1:(找到账号下面的这个preferences). 2: 点开后,设置 Preference 后,设置文时区:然后save 保存。 3: 设置好后,就可以看到正确时间显示啦: 完美解决splunk 时间显示...
Splunk如何判断今天是周几
QYHuiiQ
03-19 536
splunk提供了判断今天是周几的语法: | makeresults | eval weekday = strftime(now(), "%a") //这里的%a就是splunk里提供的周几的判断 //如果在业务我们会遇到有些业务情况是只有工作日(周一~周五)有数据的,并且我们想根据今天的日期获取上一个工作日的日期,可以参考如下: | eval lastBusinessDate = if(weekday=="Mon", relative_time(now(),"@w5"), relat.
splunk spl语法笔记
QYHuiiQ
08-31 5803
#重命名a为b | rename a as b #日期格式化并计算 | eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z") | eval duration=t2-t1 #变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值) | eval myvalue=if((b+c)=0,0,b+c) #保留两位小.
python GMT时间格式转化
热门推荐
深海微澜
11-12 2万+
1、datetime类型转换成GMT时间格式的字符串(如'Thu, 19 Feb 2009 16:00:07 GMT'),strftime(官方释义:new string): from datetime import datetime GMT_FORMAT = '%a, %d %b %Y %H:%M:%S GMT+0800 (CST)' print(datetime.utcnow().st...
Splunk限定查询某一天的零点到与今天同一时间点的时间范围
QYHuiiQ
03-21 1384
Splunk有时我们会想要拿今天零点到当前时间点的这个时间段的数据与过去某一天的零点到与当前同一时分秒的时间段的数据做比较。 | eval _time=strptime(timestamp, "%Y-%m-%dT%H:%M:%S.%1Q%z") | eval start_time=strptime("2021-03-21"."T"."00:00:00 -0500", "%Y-%m-%dT%H:%M:%S.%1Q%z") | eval end_time=strptime("2021-03-21"."T.
js时间戳与日期格式的相互转换
Feast_aw的博客
08-01 2102
时间戳转时间 function timestampToTime(timestamp) { var date = new Date(timestamp * 1000);//时间戳为10位需*1000,时间戳为13位的话不需乘1000 var Y = date.getFullYear() + '-'; var M = (date.getMonth()+...
splunk大数据分析 从入门到实践
qq_38111600的博客
07-02 4471
目录0×01 初识splunk0x02 Linux上安装Splunk0x03 Windows上安装Splunk0×04 Splunk安装后配置 0×05 Splunk的目录结构 0×06 Splunk常用的CLI命令  0×07 实战-导入数据前的准备 0×08 实战-导入并分析本地数据-10×09 实战-导入并分析本地数据-20×10 使用转发器转发数据0×11 实战-数据分析和可视化-1 0×...
splunk】按时间统计并找到异常值
weixin_33713707的博客
06-27 1141
场景: 有长时间对多个端口访问的日志数据,每天对端口的访问量是稳定的。如果某一天对某个端口的访问量突然增加表示可能出现了问题。现在要通过splunk找到异常值。   思路: 统计每个端口每天的访问量。统计其最大值,平均值,位数。最大值和平均值比值大的,以及最大值和位数比值大的就是可能异常的地方。通过一个交互折线图来展示选定端口每天的访问量。   1.统计每个端口每天的访问量。 source=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值