Time: 2020-01-15  安全牛

新千年虫出现:Splunk时间戳功能将在2020年出现重大问题

  大数据分析平台 Splunk 承认染上千年虫,其时间戳功能显然还未准备好迎接 2020 年,需打上补丁方可正确摄入数据。

  Splunk 是位于旧金山的数据分析平台供应商,专注监视软件和业务分析,拥有约 1.9 万用户的客户基础。该公司实时收集并索引数据,将之置入可搜索的存储库中。用户可从数据可视化的控制面板创建自定义图表和报告。

  Splunk 平台上的类千年虫问题由其输入处理器造成,该处理器使用一个名为 datatime.xml 的文件帮助正确建立入站数据的时间戳。然而,该文件仅能正常工作到 2019 年 12 月 31 日;此后其为入站数据建立的时间戳就不再正确了。

  受影响用户需在新年到来前修复该平台。Splunk 警告称:平台摄入数据后就没办法改正时间戳了。若用未打补丁的 Splunk 平台实例摄入了数据,必须修复该实例,并重新摄入数据,这样才能拥有正确的时间戳。

等级保护资讯网

  需修复的 Splunk 版本 图源:Splunk

  Splunk时间戳

  如果配置输入源自动确定时间戳,运行未修复版本 Splunk 平台及其实例的用户在 2020 年后将面对巨大问题;如此配置可导致用户在搜索摄入数据时遭遇困难,数据存储桶回滚也会出现问题。

  为修复此问题,Splunk 发布了修正版 datatime.xml 文件,可在网上下载到该文件的 ZIP 压缩包。Splunk Cloud 客户则可自动接收修复。

  用户修复步骤如下:

  从 splunk.com 网站下载 datatime.zip 时间戳识别 ZIP 文件。

  解压此 ZIP 文件至您所有 Splunk 平台实例均可访问的位置。

  在每个 Splunk 平台实例上做下列动作:

  停止 Splunk 平台。

  使用操作系统文件管理功能,复制该新 datatime.xml 文件至 Splunk 平台实例的 $SPLUNK_HOME/etc 文件夹。确保该更新文件覆盖已有 datatime.xml 文件。

  确认该新 datatime.xml 文件切实写入了 $SPLUNK_HOME/etc 文件夹。

  重启 Splunk 平台。您的 Splunk 平台实例就此修复。

  对精通技术或运行老版本 Splunk 企业平台而没有或无法升级的的用户和开发人员而言,可以通过操作系统管理工具手动重写之前的 datatime.xml 文件。其步骤和相关字符串参见 Splunk 警告通知的底部。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。