我的主机上已经安装了一个splunk转发器。
我在文件夹(/ tom / mike /)中有某些文件。文件名以Back *开头。
文件内容可以在一行或多行中。有多个固定位置值,每行中有一些空格,没有标题。
内容(示例:考虑" - "作为一个空格)
Tom---516-----RTYUI------45678 Mik---345-----XYXFF------56789
我需要每行的splunk日志。
像:
Key1= Tom Key2=516 Key3= RTYUI Key4= 45678 Key1= Mike Key2= 345 Key3= XYXFF Key4= 56789
我知道 inputs.conf 更改如下所示:
[monitor:///tom/mike/Back*] index=myIndex blacklist=\.(gz|zip|bkz|arch|etc)$ sourcetype = BackFileData
请提出可在props.conf中进行的更改。请记住,对于每个值,分隔符是固定的,但对于所有列值,分隔符不相同(如2个空格)。这些文件中也没有标题。
答案 0 :(得分:0)
如果您想要搜索时间提取,可以使用kvdelims,或者您可以制作transforms.conf规则并将其应用于props.conf并在索引时提取
这是一篇涵盖所有这些场景的好文章
https://www.splunk.com/blog/2008/02/12/delimiter-based-key-value-pair-extraction.html