新千年虫出现:Splunk时间戳功能将在2020年出现重大问题

阅读量243424

发布时间 : 2019-11-29 15:00:30

 

大数据分析平台 Splunk 承认染上千年虫,其时间戳功能显然还未准备好迎接 2020 年,需打上补丁方可正确摄入数据。

Splunk 是位于旧金山的数据分析平台供应商,专注监视软件和业务分析,拥有约 1.9 万用户的客户基础。该公司实时收集并索引数据,将之置入可搜索的存储库中。用户可从数据可视化的控制面板创建自定义图表和报告。

Splunk 平台上的类千年虫问题由其输入处理器造成,该处理器使用一个名为 datatime.xml 的文件帮助正确建立入站数据的时间戳。然而,该文件仅能正常工作到 2019 年 12 月 31 日;此后其为入站数据建立的时间戳就不再正确了。

受影响用户需在新年到来前修复该平台。Splunk 警告称:平台摄入数据后就没办法改正时间戳了。若用未打补丁的 Splunk 平台实例摄入了数据,必须修复该实例,并重新摄入数据,这样才能拥有正确的时间戳。

需修复的 Splunk 版本 图源:Splunk

 

Splunk时间戳

如果配置输入源自动确定时间戳,运行未修复版本 Splunk 平台及其实例的用户在 2020 年后将面对巨大问题;如此配置可导致用户在搜索摄入数据时遭遇困难,数据存储桶回滚也会出现问题。

为修复此问题,Splunk 发布了修正版 datatime.xml 文件,可在网上下载到该文件的 ZIP 压缩包。Splunk Cloud 客户则可自动接收修复。

用户修复步骤如下:

  • 从 splunk.com 网站下载 datatime.zip 时间戳识别 ZIP 文件。
  • 解压此 ZIP 文件至您所有 Splunk 平台实例均可访问的位置。
  • 在每个 Splunk 平台实例上做下列动作:
  • 停止 Splunk 平台。
  • 使用操作系统文件管理功能,复制该新 datatime.xml 文件至 Splunk 平台实例的 $SPLUNK_HOME/etc 文件夹。确保该更新文件覆盖已有 datatime.xml 文件。
  • 确认该新 datatime.xml 文件切实写入了 $SPLUNK_HOME/etc 文件夹。
  • 重启 Splunk 平台。您的 Splunk 平台实例就此修复。

对精通技术或运行老版本 Splunk 企业平台而没有或无法升级的的用户和开发人员而言,可以通过操作系统管理工具手动重写之前的 datatime.xml 文件。其步骤和相关字符串参见 Splunk 警告通知的底部。

datatime.xml 的 ZIP 包下载:

http://download.splunk.com/products/ingest2020/datetime.zip

Splunk 警告通知:

https://docs.splunk.com/Documentation/Splunk/8.0.0/ReleaseNotes/FixDatetimexml2020

本文转载自: 安全牛

如若转载,请注明出处: https://mp.weixin.qq.com/s/5LU6cRCne4MVYqZkqXnbYg

安全KER - 有思想的安全新媒体

分享到:微信
+11赞
收藏
安全牛
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66