ログの論理的な時間は、ログで使用できるデータに応じて、さまざまな場所から取得されます。ログには、ログの論理的な時間と考えられる [timestamp] や [Time] などのフィールドがある場合があります。ただし、Log Observer Connect はログの論理的な時間を決定し、それをフィールド [_time] に割り当てます。ログにフィールド [_time] がすでに含まれている場合、 Log Observer Connect はそれを上書きします。

Log Observer Connect は、各ログの論理時間を決定するために、以下の 2 つのルールを優先順位順に適用します。

• HTTP Event Collector (HEC) プロトコルの一部として、イベント時刻として送信されるタイムスタンプ

• ログイベントが Splunk Observability Cloud に到達した時刻

まず、Log Observer Connect は、一致するイベントタイムプロセッサ（前述のリストのルール 1）をチェックします。一致がある場合、論理的な時間として使用されます。Log Observer Connect では、イベントタイムプロセッサルールが第一に優先されます。これは、ログの論理的な時間を決定するために作成したルールであるためです。

イベントタイムプロセッサルールに一致するものがない場合、Log Observer Connect はイベント時間として HEC プロトコルの一部として送られたタイムスタンプをチェックします。HEC プロトコルのタイムスタンプがある場合は、Log Observer Connect でのログの論理的な時間になります。

HEC プロトコルのタイムスタンプがない場合、Log Observer Connect はログイベントが Splunk Observability Cloud に最初に到達した時刻をログの論理時間として使用します。