大数据分析平台 Splunk 承认染上千年虫,其时间戳功能显然还未准备好迎接 2020 年,需打上补丁方可正确摄入数据。
Splunk 是位于旧金山的数据分析平台供应商,专注监视软件和业务分析,拥有约 1.9 万用户的客户基础。该公司实时收集并索引数据,将之置入可搜索的存储库中。用户可从数据可视化的控制面板创建自定义图表和报告。
Splunk 平台上的类千年虫问题由其输入处理器造成,该处理器使用一个名为 datatime.xml 的文件帮助正确建立入站数据的时间戳。然而,该文件仅能正常工作到 2019 年 12 月 31 日;此后其为入站数据建立的时间戳就不再正确了。
受影响用户需在新年到来前修复该平台。Splunk 警告称:平台摄入数据后就没办法改正时间戳了。若用未打补丁的 Splunk 平台实例摄入了数据,必须修复该实例,并重新摄入数据,这样才能拥有正确的时间戳。
需修复的 Splunk 版本 图源:Splunk
Splunk时间戳
如果配置输入源自动确定时间戳,运行未修复版本 Splunk 平台及其实例的用户在 2020 年后将面对巨大问题;如此配置可导致用户在搜索摄入数据时遭遇困难,数据存储桶回滚也会出现问题。
为修复此问题,Splunk 发布了修正版 datatime.xml 文件,可在网上下载到该文件的 ZIP 压缩包。Splunk Cloud 客户则可自动接收修复。
用户修复步骤如下:
对精通技术或运行老版本 Splunk 企业平台而没有或无法升级的的用户和开发人员而言,可以通过操作系统管理工具手动重写之前的 datatime.xml 文件。其步骤和相关字符串参见 Splunk 警告通知的底部。
datatime.xml 的 ZIP 包下载:
http://download.splunk.com/products/ingest2020/datetime.zip
Splunk 警告通知:
https://docs.splunk.com/Documentation/Splunk/8.0.0/ReleaseNotes/FixDatetimexml2020