Zurück

Splunk Zeitstempel Problem ab 1.1.2020

26. November 2019
Splunk Zeitstempel Problem ab 1.1.2020

In allen aktuellen Versionen von Splunk Enterprise, Splunk Light und Splunk Cloud werden Zeitstempel ab 1.1.2020 mit zweistelligen Jahren nicht mehr korrekt erkannt und können so zu ungenauen, nicht suchbaren oder dauerhaft gelöschten Daten führen.

Auswirkung
Diese Problem betrifft alle nicht gepatchten Splunk Instanztypen auf allen Betriebssystemen und tritt auf, wenn Sie die Input Source so konfiguriert haben, dass sie automatisch den Zeitstempel bestimmt. Dies kann zu folgenden Problemen führen:

  • – Falsche Zeitstempelung der eingehenden Daten
  • – Falsches Überschreiben von Datenbereichen aufgrund des falschen Zeitstempels
  • – Falsche Aufbewahrung von Daten insgesamt
  • – Falsche Suchergebnisse aufgrund von Daten, die mit falschen Zeitstempeln aufgenommen wurden

Problembehebung
Sie haben folgende drei Möglichkeiten, das Problem zu beheben:

  • – Download der aktualisierten Version von datetime.xml und wenden Sie diese auf allen Ihrer Splunk-Plattforminstanzen an
  • – Nehmen Sie die Änderungen an Ihrer bestehenden datetime.xml vor
  • – Upgrade der Splunk Plattform auf eine Version, die über eine aktuelle Version von datetime.xml verfügt

Die Problembehebung muss vor dem 1.1.2020 erfolgen.

 

Gerne unterstützen wir Sie bei der Problembehung – sprechen Sie mit uns!