Menü
Avatar von hose123
  • hose123

107 Beiträge seit 03.12.2000

Dumm gelaufen

Moin,

Vorab: die Bugs sind doof... Punkt.

Vor allem 4 Wochen vor Weihnachten und in der Woche vor Thanksgiving....

Und ja, ich kenne die Software... ein wenig.

Was leider auch von Splunk selbst in den Release Notes vergessen wurde:
Das Problem tritt nur auf, wenn man nicht, wie empfohlen, das Zeitstempel-Format in der props.conf mit TIME_FORMAT korrekt setzt.

https://conf.splunk.com/files/2017/slides/worst-practicesand-how-to-fix-them.pdf
Seite 30 von 65!

Ja, 99% der Teilzeit-User machen das so (und auch 99,5% aller zahlenden Kunden...)

Es ist ein gutes Beispiel, dass man sich nicht immer auf das Kölsche Grundgesetz, Paragraph 3 „Et hät noch immer jot jejange!“ verlassen sollte.

Wenn kein Timestamp definiert wird, nudelt Splunk Enterprise die Liste der vermutlichen Zeitstempelformate in datetime.xml durch und versucht in den ersten 128 Bytes ein passendes Subjekt zu finden...

Da sind dann im Jahre 2020 zweistellige Exemplare der Jahreszahl unschön...

Zur hier gemachten Anmerkung „das passiert mit dem Fix im Jahr 2029 wieder“ möchte ich sagen: Jau!!!!

Aber du hast mit den Defaulteinstellungen bis zum 29.12.2029 Zeit darauf zu hoffen, dass Splunk das fixt, denn Zeitstempel 48h in der Zukunft werden eh als inkorrekt verworfen und da hast du dann andere Probleme...

Aus diesem Blickwinkel ist vielleicht auch das Epoch-Time Problem zu sehen, was übrigens schon mehrfach auftrat und rechtzeitig ohne Aufschrei gefixt wurde.

Macht es Sinn den „Fix“ schon auf 1800000000 zu setzen? Möglicherweise!

Aber vielleicht ist eine 1,8 Milliarden als Integer tatsächlich die Anzahl der übertragenen Bytes und kein Zeitstempel...

Wie gesagt, das System muss ja raten!

Das nächste Mal einfach ein paar Wochen früher informieren...

Hilft aber auch nicht wenn man noch Splunk 5.0 verwendet... Baujahr 2012...

Wobei, dann kann ich vor Weihnachten keinen Notfall-Zuschlag für Wochenendeinsätze verlangen....

Ich glaube, ich sattel um auf Hardware... so ein Firmware-Patch für SSDs ist bestimmt lustiger....

Mit freundlichen Grüßen

Bewerten
- +