相对较新的Splunk(版本6)甚至更新的Reg-ex,我有我尝试索引的日志文件,其标题比我需要忽略。有6个标题行。前4个都以*开头,后两个是空白行。我假设他们只是回车。我正在寻找有关正则表达式的帮助,该正则表达式在添加数据时将忽略transforms.conf文件中的这些行。以下是我要添加的日志文件中的示例:
*******************************
*** This is a Header ***
*** 07:32:06 Tue Jan 07 ***
*******************************
Jan-07 07:32:06 SERVERNAME:somedatainfo
Jan-07 07:32:06 SERVERNAME:moredatainfo
答案 0 :(得分:1)
在转发器或索引器上,您可以设置正在监视的文件的源类型。
# in inputs.conf
[monitor:///path/to/your/file]
sourcetype=new_sourcetype
在索引器上,你可以摆脱这样的第一行:
# in props.conf
[new_sourcetype]
TRANSFORMS-test=ignore_header
#in transforms.conf
[ignore_header]
REGEX=^\*\*\*+
DEST_KEY=queue
FORMAT=nullQueue