为什么Splunk无法识别这些字段?
我是Splunk的新手,如果需要提供更多信息,请原谅我。
我正在生成用于跟踪一些网站指标的日志,最终目的是在值发生变化时向我发送警报。
我正在将日志转发到Splunk Indexer。我的日志采用以下格式:
fetchTime: 2018-12-02T18:33:56.621Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.70
fetchTime: 2018-12-02T18:34:50.345Z
fooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.90
fetchTime: 2018-12-03T18:35:50.750Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.72
fetchTime: 2018-12-03T18:36:06.868Z
FooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.88
如我所愿,事件在Splunk中出现:
但是我希望Splunk可以轻松地将它们标识为“有趣的字段”。
我的日志格式有问题吗?我应该做一个自定义的字段提取器,因为它不能识别它们吗?还是在Splunk中配置不正确?
谢谢。
1 个答案:
答案 0 :(得分:4)
由于未提取任何字段,因此未列为“有趣的字段”。 Splunk希望找到键=值格式的字段。如果数据不是这种格式(如您的格式),则需要在props.conf文件中进行设置,以告诉Splunk如何解释数据。从以下内容开始:
[mysourcetype]
TIME_PREFIX = fetchTime:
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 24
SHOULD_LINEMERGE = true
BREAK_ONLY_BEFORE = ^fetchTime
TRANSFORM-fields = mysourcetypefields
在transforms.conf中添加:
[mysourcetypefields]
REGEX = ([^:]+):\s(\S+)
FORMAT = $1::$2
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?