先说一下时区的重要性，要是cribl 时区是UTC，但是过来数据是GTM+8 就是中国时区，那么数据过来，就可能在后端的Splunk 没有显示，那么解决这个问题，cribl 管道引入了auto timestamp 的功能：

注意到，这个是对_raw event 里面的 正则过后的时间进行转换:

 

我的event 经过上面的正则加工后，就留下上面的日期和时间，然后再转换成asia/shanghai 的时区。 

这个case 的关键点就是要会 正则，要先把date + time 先取出来，然后再选择合适的timezone.