Correctif SPLUNK - Parsing de Timestamp à partir de 2020

Les équipes de Splunk ont identifié un incident potentiellement majeur qui affecte l’ensemble des instances Splunk. À compter du 1er janvier 2020, les instances des plates-formes Splunk non corrigées ne pourront plus reconnaître les horodatages des événements dont la date contient une année à deux chiffres. Cela signifie que les données répondant à ce critère seront indexées avec des horodatages incorrects. De plus compter du 13 septembre 2020 à 12 h 26 min 39 s, heure universel coordonné (UTC), les instances non corrigées de la plate-forme Splunk ne pourront pas reconnaître les horodatages des événements dont les dates sont basées sur l'heure Unix, en raison d'une analyse syntaxique incorrecte des données d'horodatage. Cet incident affecte l’extraction de temps automatique (IE : si on ne précise pas TIME_FORMAT) et pourrait les rendre inaccessibles à la recherche si le correctif associé n’est pas appliqué avant le 1er Janvier 2020 sur :

• Tous les Indexers des instances Splunk on-premise
• Tous les Heavy Forwarders

Les équipes Cloud Ops ont pris en charge les mises à jour sur les composants Splunk Cloud. La description de l’incident et la solution à apporter sont décrites dans le document suivant : https://docs.splunk.com/Documentation/Splunk/latest/ReleaseNotes/FixDatetimexml2020 En synthèse, la correction consiste à remplacer le fichier datetime.xml des Indexers et Heavy Forwarders par celui fournit dans la doc ci-dessus et à redémarrer vos instances. Nous sommes à votre disposition pour vous aider à analyser et corriger ce problème dans votre environnement.