Question

我的应用程序将日志数据写入磁盘文件。日志数据是一行json，如下所示。我使用splunker-forwarder将日志发送到splunk索引器

{＆＃34; line＆＃34;：{＆＃34; level＆＃34;：＆＃34; info＆＃34;，＆＃34; message＆＃34;：＆＃34;数据正确＆＃34 ;，＆＃34; timestamp＆＃34;：＆＃34; 2017-08-01T11：35：30.375Z＆＃34;}，＆＃34; source＆＃34;：＆＃34; std＆＃34;}

我想只将sub-json对象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"}发送到splunk索引器，而不是整个json。我应该如何配置splunk转发器或splunk索引器？

Answer 1

您可以使用sedcmd删除数据，然后由索引器将数据写入磁盘。

将此添加到您的props.conf

[Yoursourcetype]

 #...Other configurations...

 SEDCMD-removejson = s/(.+)\:\{/g

这是一个索引时间设置，因此您需要重新启动splunkd才能使更改生效

如何将sub-json对象转发到splunk索引器

1 个答案: