Timestamp problemen in Splunk

Recentelijk heeft Splunk een bekendmaking gedaan over twee tijdgevoelige problemen in nagenoeg alle Splunk producten. Het gaat hierbij om het mechanisme welke Splunk gebruikt om datums en tijdstippen te herkennen in een timestamp.

 

Vanaf 1 januari 2020 zal Splunk niet langer in staat zijn om een jaartal te herkennen wanneer dit als 2 cijfers wordt weergegeven in plaats van 4 cijfers. 1-1-2020 zal correct gezien worden als 1 Januari 2020 maar 1-1-20 zal niet herkend worden als dusdanig.

 

Vanaf 13 september 2020 zal er een tweede probleem optreden. Splunk zal vanaf dat moment niet in staat zijn om events te herkennen waarvan de timestamp op basis van de UNIX epoch is. Dit komt omdat deze zal gaan van 1599999999 naar 1600000000.

 

Timestamps van events kunnen niet meer aangepast kunnen worden nadat deze geïndexeerd zijn. Om deze reden is het zeer belangrijk dat één van de mogelijke oplossingen zo snel mogelijk wordt toegepast om het om het probleem te neutraliseren. De belangrijkste bron van informatie is te vinden op deze speciale pagina. In het kort zijn er 4 oplossingen:

 

Afhankelijk van uw infrastructuur, huidige Splunk versie en organisatie kan een van deze oplossingen beter voor u zijn dan de volgende. In het geval dat u hulp nodig heeft met het kiezen van een geschikte oplossing en ondersteuning wenst zal SMT u graag met raad en daad bijstaan.

 

Wilt u meer weten, neem dan telefonisch contact met ons op via +31 (0)88 018 4100 of neem  contact op met onze experts.

 

  • Uw gegevens worden slechts eenmalig gebruikt voor het versturen van de opgevraagde informatie en om u te contacteren indien nodig.