如何在splunk中配置eml数据格式
How to configure eml data formatting in splunk
我有一个很大的电子邮件数据集 (.eml)。
而且我不知道如何在splunk中解析和配置sourcetype。
请任何人告诉我。
提前致谢。
这是一个相当宽泛的主题,因此我将尝试从较高的层次进行介绍。随时 post 更具体的问题。
加入新的源类型时需要考虑许多事项:
- 从哪里获取事件时间戳?
- 源代码中的每一行都是一个单独的事件吗?
- 事件的区别是什么?
- 预计活动规模有多大?
这些问题的答案有助于确定 props.conf 中“Magic 6”设置的值。这些设置是 TIME_PREFIX、TIME_FORMAT、MAX_TIMESTAMP_LOOKAHEAD、SHOULD_LINEMERGE、LINE_BREAKER 和 TRUNCATE。在这种情况下,我还会添加 DATETIME_CONFIG.
由于 .eml 文件中的各行不包含时间戳,您可以跳过 timestamp-related 设置并使用 DATETIME_CONFIG = none。其他设置取决于您如何回答问题 2-4。
我有一个很大的电子邮件数据集 (.eml)。 而且我不知道如何在splunk中解析和配置sourcetype。 请任何人告诉我。
提前致谢。
这是一个相当宽泛的主题,因此我将尝试从较高的层次进行介绍。随时 post 更具体的问题。
加入新的源类型时需要考虑许多事项:
- 从哪里获取事件时间戳?
- 源代码中的每一行都是一个单独的事件吗?
- 事件的区别是什么?
- 预计活动规模有多大?
这些问题的答案有助于确定 props.conf 中“Magic 6”设置的值。这些设置是 TIME_PREFIX、TIME_FORMAT、MAX_TIMESTAMP_LOOKAHEAD、SHOULD_LINEMERGE、LINE_BREAKER 和 TRUNCATE。在这种情况下,我还会添加 DATETIME_CONFIG.
由于 .eml 文件中的各行不包含时间戳,您可以跳过 timestamp-related 设置并使用 DATETIME_CONFIG = none。其他设置取决于您如何回答问题 2-4。