单个日志被分成两个事件

时间:2018-07-19 19:15:43

标签: splunk

我没有使用props.conf。所以我想这是默认行为。

以下是单个日志:

2018-07-19 13:30:40.293 +0000  [http8080] INFO  RequestFilter- {
   "transaction_id" : "aaaaaaaaawwwwwwww",
   "http_method" : "POST",
   "date_time" : "2018-07-19 13:30:34.694 +0000",
   "requestId" : "20180719-dc7bc01d-b02c-43c8-932b-42af542ccefb"
 }

但它有2个事件

2018-07-19 13:30:40.293 +0000  [http8080] INFO  RequestFilter- {
       "transaction_id" : "aaaaaaaaawwwwwwww",
       "http_method" : "POST",


"date_time" : "2018-07-19 13:30:34.694 +0000",
   "requestId" : "20180719-dc7bc01d-b02c-43c8-932b-42af542ccefb"
 }

它总是从“ date_time”开始中断

有什么建议吗?我该如何解决?

1 个答案:

答案 0 :(得分:2)

您需要调整props.conf才能更改事件中断逻辑。默认情况下,它将在检测到适合大多数日志格式的有效时间戳时中断。

此正则表达式应仅与第一行匹配:

LINE_BREAKER = \d{4}-\d{2}-\d{2}\s+\d{2}:\d{2}:\d{2}.\d{3}\s+\+\d{4}\s+\[.*\]
SHOULD_LINEMERGE = false
相关问题
最新问题