Splunk、パッチ適用しないと2桁表記された2020年以降の西暦年認識できず

データ分析プラットフォームSplunkでは、2桁表記の西暦年を含む2020年1月1日以降のイベントのタイムスタンプを認識できない問題があり、パッチの適用が呼びかけられている(Splunkのサポート記事、Splunkのブログ記事、Computingの記事)。

原因は入力データのタイムスタンプ認識に使用する正規表現の問題だという。問題の正規表現は「datetime.xml」というXMLファイルに含まれており、修正点を見ると「2」から始まる2桁表記の西暦年の存在が考慮されていなかったようだ。

そのため、2020年1月1日以降のイベントでタイムスタンプの年が2桁表記になっていると無効な年が設定されていると誤認識し、現在の年を使用したタイプスタンプを追加するか、日付を誤って解釈したタイムスタンプを追加する可能性があるとのこと。

同じく正規表現の問題により、2020年9月13日12時26分39秒(UTC)以降のイベントでタイムスタンプがUNIX時間で表記されていると、タイムスタンプが認識できなくなる。上述の時刻はUNIX時間で1,599,999,999にあたる。こちらはUNIX時間で1,699,999,999(2023年11月14日22時13分19秒 UTC)まで処理できるよう、正規表現が修正されている。

修正はSplunk Cloudの場合自動更新で適用されるが、Splunk Enterprise/Lightでは修正版datetime.xmlへの置き換えか手作業での修正、または修正済みバージョンへのアップグレードが必要となる。　

スラドのコメントを読む | ITセクション | バグ | UNIX

　関連ストーリー：
旧暦2033年問題は確実に近づいている 2018年12月09日
MSやユニコード、新元号への移行は2000年問題に匹敵する大問題となると指摘 2018年07月30日
旧暦の「2033年問題」 2016年03月12日