我已经在Splunk网站上问过这个问题,但没有得到任何答复。我希望Stack Overflow用户可以帮助我。
我希望将来自主机debug和sourcetype host1的{{1}}关键字列入黑名单。谁能帮我这个?我知道我可以将来自host或sourcetype的事件列入黑名单,但不能同时列出两者。
以下是我尝试的配置:
source::type这最适用于# Props.conf
[host::host1]
index=new-index
TRANSFORMS-set= setnull
#transforms.conf
[setnull]
REGEX = .*\s+Debug\s+.*
DEST_KEY = queue
FORMAT = nullQueue
,但我希望将来自host1并host1的其他来源类型列入白名单。
答案 0 :(得分:1)
您的事件很可能包含host或sourcetype的标识符。如果是这种情况,则需要将其分解为正则表达式,然后使该属性与其他属性匹配(即,如果事件文本中包含host1,则需要根据{中的sourcetype进行过滤{1}})
如果我没记错的话,有一种(更复杂的)链接队列的方法,您可以将props.conf中包含host1的所有事件放入debug队列中,然后只发送带有temporary和host到sourcetype。