headless 曰く、

データ分析プラットフォームSplunkでは、2桁表記の西暦年を含む2020年1月1日以降のイベントのタイムスタンプを認識できない問題があり、パッチの適用が呼びかけられている(Splunkのサポート記事、 Computingの記事)。

原因は入力データのタイムスタンプ認識に使用する正規表現の問題だという。問題の正規表現は「datetime.xml」というXMLファイルに含まれており、修正点を見ると「2」から始まる2桁表記の西暦年の存在が考慮されていなかったようだ。

そのため、2020年1月1日以降のイベントでタイムスタンプの年が2桁表記になっていると無効な年が設定されていると誤認識し、現在の年を使用したタイプスタンプを追加するか、日付を誤って解釈したタイムスタンプを追加する可能性があるとのこと。

同じく正規表現の問題により、2020年9月13日12時26分36秒(UTC)以降のイベントでタイムスタンプがUNIX時間で表記されていると、タイムスタンプが認識できなくなる。上述の時刻はUNIX時間で1,599,999,999にあたる。

修正はSplunk Cloudの場合自動更新で適用されるが、Splunk Enterprise/Lightでは修正版datetime.xmlへの置き換えか手作業での修正、または修正済みバージョンへのアップグレードが必要となる。