0
- 我有兩個日誌文件(file_1,file_2)
- 從每一個不同的服務器(服務器1,與Server_2)。
- 服務器不通過ntpd同步。 (例如:server_1比server_2提前13秒)
- 我無法調整或更正服務器時間。
- 我是Splunk用戶,而不是Splunk管理員。
問題:攝入每個日誌文件後,事件關閉13秒(顯然)。
問題:我可以調整source = file_2中所有事件的_time 13秒,以便事件在搜索結果,圖表等中正確排列?
(注意:這是一個簡單的突破更復雜的問題,下來我有成千上萬的日誌從數百臺服務器,我不能簡單地重新運行/創建這些日誌。)