データ分析プラットフォームSplunk、パッチを適用しないと2桁表記された2020年以降の西暦年を認識できなくなる 11
ストーリー by headless
分析 部門より
分析 部門より
データ分析プラットフォームSplunkでは、2桁表記の西暦年を含む2020年1月1日以降のイベントのタイムスタンプを認識できない問題があり、パッチの適用が呼びかけられている(Splunkのサポート記事、
Splunkのブログ記事、
Computingの記事)。
原因は入力データのタイムスタンプ認識に使用する正規表現の問題だという。問題の正規表現は「datetime.xml」というXMLファイルに含まれており、修正点を見ると「2」から始まる2桁表記の西暦年の存在が考慮されていなかったようだ。
そのため、2020年1月1日以降のイベントでタイムスタンプの年が2桁表記になっていると無効な年が設定されていると誤認識し、現在の年を使用したタイプスタンプを追加するか、日付を誤って解釈したタイムスタンプを追加する可能性があるとのこと。
同じく正規表現の問題により、2020年9月13日12時26分39秒(UTC)以降のイベントでタイムスタンプがUNIX時間で表記されていると、タイムスタンプが認識できなくなる。上述の時刻はUNIX時間で1,599,999,999にあたる。こちらはUNIX時間で1,699,999,999(2023年11月14日22時13分19秒 UTC)まで処理できるよう、正規表現が修正されている。
修正はSplunk Cloudの場合自動更新で適用されるが、Splunk Enterprise/Lightでは修正版datetime.xmlへの置き換えか手作業での修正、または修正済みバージョンへのアップグレードが必要となる。
原因は入力データのタイムスタンプ認識に使用する正規表現の問題だという。問題の正規表現は「datetime.xml」というXMLファイルに含まれており、修正点を見ると「2」から始まる2桁表記の西暦年の存在が考慮されていなかったようだ。
そのため、2020年1月1日以降のイベントでタイムスタンプの年が2桁表記になっていると無効な年が設定されていると誤認識し、現在の年を使用したタイプスタンプを追加するか、日付を誤って解釈したタイムスタンプを追加する可能性があるとのこと。
同じく正規表現の問題により、2020年9月13日12時26分39秒(UTC)以降のイベントでタイムスタンプがUNIX時間で表記されていると、タイムスタンプが認識できなくなる。上述の時刻はUNIX時間で1,599,999,999にあたる。こちらはUNIX時間で1,699,999,999(2023年11月14日22時13分19秒 UTC)まで処理できるよう、正規表現が修正されている。
修正はSplunk Cloudの場合自動更新で適用されるが、Splunk Enterprise/Lightでは修正版datetime.xmlへの置き換えか手作業での修正、または修正済みバージョンへのアップグレードが必要となる。
10年後にまた会おう (スコア:1)
[901]\dを[9012]\dと修正したから、20でもおk!って事なのか…?
30は大丈夫なの
3年後にまた会おう (スコア:2, おもしろおかしい)
それ以前に2023年までしか対応していないようだが(タレコミによると)
Re:10年後にまた会おう (スコア:1)
10年後に会社が残っていれば十分勝ち組なのではないか。
Re: (スコア:0)
???
Re: (スコア:0)
世の中勝ち組だらけですね。
Re: (スコア:0)
いつ勝ち負けの話をしてた
Re: (スコア:0)
サポートできなくなっても使われ続けたり、ユーザーが古いバージョンを使い続けたりしないように
数年毎ぐらいに使えなくなるような仕様仕込むのはありなのかもしれない。
未来の日付を扱わないのなら
Re:10年後にまた会おう (スコア:1)
有効期限が過ぎたらブートできなくなるシステムはあった
そんな設定がある事を知らずに古い設定のままテスト用ブートファイルを作っていて、
ちょっと焦ったことがあった
Re: (スコア:0)
目的外利用かもしれませんけど期限付き電子証明書とか。
でもスクリプトや設定ファイルみたいなのはあんま対応考えられてないですねぇ…
2020年以降の西暦年を認識できなくなる (スコア:0)
やったね!たえちゃん
Re: (スコア:0)
解説希望