找人建设一个网站多少钱/新东方培训机构官网

1: 背景：

有些Splunk 日志本身就带时间，这个时间不是splunk server 本身的时间，而是另外的时间，这种场景：

splunk server: (forwarder / indexer ) 时间是 PDT，但是送log 过来的server 时间是北京时间，大家知道这时间差：

这种情况下：说明一下 event 里面含的时间就是 BJ时间，但是server 上是 PDT，所以，splunk 界面上是还来不及显示。

2: 诊断问题：

下面介绍两个时间 概念：

_indextime 和_time.

_indextime, 就是进入splunk index 的时间和处理的时间，_time, 就是这个event 的自带的时间，所以看上面两个时区：就不一样。

Symptoms

Events collected from a forwarder or from a log file are not yet searchable on Splunk. Even though the time stamps of the events are within the search time range, a search does not return the events. Later, a search over the same time range returns the e