我们有成功提交数据REST API端点的附加组件,但我们想切换到使用EC端点。 但是在测试时,我们发现当我们通过EC端点提交JSON数据时不会执行字段提取,尽管使用了相同的源类型。 我使用Splunk 6.4.1
如果我手动上传数据,我有截图显示如何正确提取JSON字段&如果通过EC端点
发送JSON文件,如何未提取字段https://drive.google.com/open?id=0B3ujiBaFxN0ZenAtVGtid29JY3M
我的源类型的属性如下
pulldown_type = true
INDEXED_EXTRACTIONS = json
KV_MODE = none
NO_BINARY_CHECK = true
TIMESTAMP_FIELDS = TIMESTAMP
TZ = UTC
category = Structured
description = Test
disabled = false
答案 0 :(得分:0)
HEC 尚未支持JSON字段提取,但很快就会出现。
同时一个选项是使用我在这里写博客的方法的变体:http://blogs.splunk.com/2016/06/28/eureka-extracting-key-value-pairs-from-json-fields/依赖于正则表达式提取