我有一个Prop&Transform文件。在其中,我尝试解析特定字段并将其标记为源类型。我以前有过它,但是现在...有点破了。
Transforms.conf
[audit_sourcetype_11]
REGEX = (AUDIT_Sourcetype_1)
FORMAT = sourcetype::Sourcetype_1_Name
DEST_KEY = MetaData:Sourcetype
[audit_sourcetype_22]
REGEX = (AUDIT_Sourcetype_22)
FORMAT = sourcetype::Sourcetype_2_Name
DEST_KEY = MetaData:Sourcetype
Props.conf
disabled = false
NO_BINARY_CHECK = true
disabled = false
pulldown_type = true
我遇到的另一个问题是我有某些事件和消息显示如下:
[ System_Message = This is a system message ]
但是Splunk解析它并显示如下:
Field: System_Message
Value: This
我如何告诉Splunk查看整个消息。不只是第一个字符?