Question

我想在Splunk中转储以下XML日志文件，请记住它应该将所有标记作为字段提供，以便我可以搜索事件

Text =＆＃34;应用程序：目录已启动＆＃34;类别=＆＃34; BIG＆＃34;模块=＆＃34; WorkflowHost＆＃34;

我应该在props.conf中写什么

<Message>
  <ID>
    b476f836-36dd-4c30-9a8e-0587c5d34b8d-
  </ID>
  <Date>
    2014-01-09 10:45:31.69
  </Date>
  <Text>
    Application: Directory started
  </Text>
  <Category>
    BIG
  </Category>
  <Source>
    Workflow
  </Source>
  <Level>
    Event
  </Level>
  <Class>
    General
  </Class>
  <Module>
    WorkflowHost
  </Module>
  <LineNumber>
    0
  </LineNumber>
  <ProcessID>
    5420
  </ProcessID>
  <User>
    e2ac3262e9b9d03f
  </User>
</Message>


<Message>
  <ID>
    b476f836-36dd-4c30-9a8e-0587c5d34b8d
  </ID>
  <Date>
    2014-01-09 10:45:41.57
  </Date>
  <Text>
    Application: PatientDirectory started
  </Text>
  <Category>
    BIG
  </Category>
  <Source>
    PatientDirectory
  </Source>
  <Level>
    Event
  </Level>
  <Class>
    General
  </Class>
  <Module>
    PatientDirectory
  </Module>
  <LineNumber>
    0
  </LineNumber>
  <ProcessID>
    2180
  </ProcessID>
  <User>
    e2ac3262e9b9d03f
  </User>
</Message>

PLs帮助......：）

Answer 1

在你的索引源类型的props.conf节中，添加

KV_MODE=xml

这将自动提取所有字段和值。

您可以在props.conf文件文档中找到更多详细信息：

http://docs.splunk.com/Documentation/Splunk/latest/Admin/propsconf

将XML日志文件转储到Splunk中

1 个答案: