如何使用不同的时间戳格式splunkstorm解析多行Java EE日志

时间:2012-06-20 10:29:13

标签: splunk

我的日志看起来像这样:

  

Jun 19,2012 7:15:59 AM org.apache.catalina.core.StandardEngine start

     

信息:启动Servlet引擎:Apache Tomcat / 6.0.29

时间戳不符合ISO 8601.我是否有办法根据上述格式实现隔离?现在,它随机分成多条线。

1 个答案:

答案 0 :(得分:0)

在splunk中创建新的sourcetype为

[javaee_logs]
BREAK_ONLY_BEFORE=^\w\w\w\s\d{2},\s\d{4}\s\d+:\d{2}:\d{2}
NO_BINARY_CHECK=1
SHOULD_LINEMERGE=true
TIME_FORMAT=%b %d, %Y %H:%M:%S %p
TIME_PREFIX=^
相关问题
最新问题