为什么 Splunk 不识别这些字段?
Why won't Splunk recognize these fields?
我是 Splunk 的新手,如果我需要提供更多信息,请原谅我。
我正在生成日志来跟踪一些网站的指标,最终目标是在值发生变化时向我发送警报。
我正在将日志转发到 Splunk 索引器。我的日志格式如下:
fetchTime: 2018-12-02T18:33:56.621Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.70
fetchTime: 2018-12-02T18:34:50.345Z
fooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.90
fetchTime: 2018-12-03T18:35:50.750Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.72
fetchTime: 2018-12-03T18:36:06.868Z
FooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.88
如我所愿,事件出现在 Splunk 中:
但我希望 Splunk 可以轻松地将它们识别为 "Interesting Fields"。
我的日志格式有问题吗?我应该制作一个自定义字段提取器,因为它不能识别它们吗?还是 Splunk 中的配置不正确?
提前致谢。
它们未列为 "Interesting Fields",因为未提取任何字段。 Splunk 希望找到键=值格式的字段。如果数据不是那种格式(比如你的),那么你需要在 props.conf 文件中设置来告诉 Splunk 如何解释你的数据。从以下内容开始:
[mysourcetype]
TIME_PREFIX = fetchTime:
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 24
SHOULD_LINEMERGE = true
BREAK_ONLY_BEFORE = ^fetchTime
TRANSFORM-fields = mysourcetypefields
在transforms.conf中添加:
[mysourcetypefields]
REGEX = ([^:]+):\s(\S+)
FORMAT = ::
我是 Splunk 的新手,如果我需要提供更多信息,请原谅我。
我正在生成日志来跟踪一些网站的指标,最终目标是在值发生变化时向我发送警报。
我正在将日志转发到 Splunk 索引器。我的日志格式如下:
fetchTime: 2018-12-02T18:33:56.621Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.70
fetchTime: 2018-12-02T18:34:50.345Z
fooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.90
fetchTime: 2018-12-03T18:35:50.750Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.72
fetchTime: 2018-12-03T18:36:06.868Z
FooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.88
如我所愿,事件出现在 Splunk 中:
但我希望 Splunk 可以轻松地将它们识别为 "Interesting Fields"。
我的日志格式有问题吗?我应该制作一个自定义字段提取器,因为它不能识别它们吗?还是 Splunk 中的配置不正确?
提前致谢。
它们未列为 "Interesting Fields",因为未提取任何字段。 Splunk 希望找到键=值格式的字段。如果数据不是那种格式(比如你的),那么你需要在 props.conf 文件中设置来告诉 Splunk 如何解释你的数据。从以下内容开始:
[mysourcetype]
TIME_PREFIX = fetchTime:
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 24
SHOULD_LINEMERGE = true
BREAK_ONLY_BEFORE = ^fetchTime
TRANSFORM-fields = mysourcetypefields
在transforms.conf中添加:
[mysourcetypefields]
REGEX = ([^:]+):\s(\S+)
FORMAT = ::