大数据分析平台 Splunk 承认染上千年虫,其时间戳功能显然还未准备好迎接 2020 年,需打上补丁方可正确摄入数据。
Splunk 是位于旧金山的数据分析平台供应商,专注监视软件和业务分析,拥有约 1.9 万用户的客户基础。该公司实时收集并索引数据,将之置入可搜索的存储库中。用户可从数据可视化的控制面板创建自定义图表和报告。
Splunk 平台上的类千年虫问题由其输入处理器造成,该处理器使用一个名为 datatime.xml 的文件帮助正确建立入站数据的时间戳。然而,该文件仅能正常工作到 2019 年 12 月 31 日;此后其为入站数据建立的时间戳就不再正确了。
受影响用户需在新年到来前修复该平台。Splunk 警告称:平台摄入数据后就没办法改正时间戳了。若用未打补丁的 Splunk 平台实例摄入了数据,必须修复该实例,并重新摄入数据,这样才能拥有正确的时间戳。
需修复的 Splunk 版本 图源:Splunk
Splunk时间戳
如果配置输入源自动确定时间戳,运行未修复版本 Splunk 平台及其实例的用户在 2020 年后将面对巨大问题;如此配置可导致用户在搜索摄入数据时遭遇困难,数据存储桶回滚也会出现问题。
为修复此问题,Splunk 发布了修正版 datatime.xml 文件,可在网上下载到该文件的 ZIP 压缩包。Splunk Cloud 客户则可自动接收修复。
用户修复步骤如下:
-
从 splunk.com 网站下载 datatime.zip 时间戳识别 ZIP 文件。
-
解压此 ZIP 文件至您所有 Splunk 平台实例均可访问的位置。
-
在每个 Splunk 平台实例上做下列动作:
-
停止 Splunk 平台。
-
使用操作系统文件管理功能,复制该新 datatime.xml 文件至 Splunk 平台实例的 $SPLUNK_HOME/etc 文件夹。确保该更新文件覆盖已有 datatime.xml 文件。
-
确认该新 datatime.xml 文件切实写入了 $SPLUNK_HOME/etc 文件夹。
-
重启 Splunk 平台。您的 Splunk 平台实例就此修复。
对精通技术或运行老版本 Splunk 企业平台而没有或无法升级的的用户和开发人员而言,可以通过操作系统管理工具手动重写之前的 datatime.xml 文件。其步骤和相关字符串参见 Splunk 警告通知的底部。
datatime.xml 的 ZIP 包下载:
http://download.splunk.com/products/ingest2020/datetime.zip
Splunk 警告通知:
https://docs.splunk.com/Documentation/Splunk/8.0.0/ReleaseNotes/FixDatetimexml2020
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。