用于SailPoint和Splunk时间戳差异的SIEM插件

Question

我有一个问题，事件如何到达一个工具，如Splunk。

目前，插件的工作方式似乎是将记录发送到有问题的日志收集应用程序，将事件的时间戳放置在时间(位于事件属性中)。

然而，似乎在Splunk中，它是标记着它进入Splunk的事件时间。

例如，我有一个两年前发生的事件，事件上的时间戳显示了这一点，而SailPoint则显示了这一点(如果您钻研这个事件，即使是Splunk也会显示出来)。

然而，当我导入Splunk时，比方说今天(2021年3月15日)，Splunk将显示事件时间戳为今天，而不是实际事件发生的时间。

所以当我做分析的时候，我不能根据Splunk的时间戳来寻找事件发生的时间(因为Splunk显示的是重要的一天，而不是事件发生的时间)：它实际上不会给我展示两年前发生的事件。

斯普伦克将把两年前发生的事件显示为今天发生的事件，因为那时SailPoint的事件被导入到Splunk中。

Answer 1

听起来，事件日期被设置为索引日期。

您的props.conf设置时间戳的样子是什么？

根据您的评论，您应该在TA的local/props.conf中添加以下内容

TIME_PREFIX=\"created\": 
TIME_FORMAT=%s$3N