Splunk、パッチ適用しないと2桁表記された2020年以降の西暦年認識できず

2019年12月1日 08:43

データ分析プラットフォームSplunkでは、2桁表記の西暦年を含む2020年1月1日以降のイベントのタイムスタンプを認識できない問題があり、パッチの適用が呼びかけられている(Splunkのサポート記事Splunkのブログ記事Computingの記事)。

原因は入力データのタイムスタンプ認識に使用する正規表現の問題だという。問題の正規表現は「datetime.xml」というXMLファイルに含まれており、修正点を見ると「2」から始まる2桁表記の西暦年の存在が考慮されていなかったようだ。

そのため、2020年1月1日以降のイベントでタイムスタンプの年が2桁表記になっていると無効な年が設定されていると誤認識し、現在の年を使用したタイプスタンプを追加するか、日付を誤って解釈したタイムスタンプを追加する可能性があるとのこと。

同じく正規表現の問題により、2020年9月13日12時26分39秒(UTC)以降のイベントでタイムスタンプがUNIX時間で表記されていると、タイムスタンプが認識できなくなる。上述の時刻はUNIX時間で1,599,999,999にあたる。こちらはUNIX時間で1,699,999,999(2023年11月14日22時13分19秒 UTC)まで処理できるよう、正規表現が修正されている。

修正はSplunk Cloudの場合自動更新で適用されるが、Splunk Enterprise/Lightでは修正版datetime.xmlへの置き換えか手作業での修正、または修正済みバージョンへのアップグレードが必要となる。 

関連記事

最新記事