我有一个手动上传到splunk中的csv文件。我想对文件执行INGEST_EVAL,但是更改在重新启动后不会传播。我不知道为什么。什么都没显示。这是代码-我在做什么错?我需要在splunk的网络端修改其他任何配置吗? (结果不会在显示源类型的预加载部分中显示)。
transform.props :
[myeval]
INGEST_EVAL = eval_user="test"
field.props :
[myeval]
INDEXED = True
props.config
[newfieldsourcetest]
TRANSFORMS = myeval
DATETIME_CONFIG =
INDEXED_EXTRACTIONS = csv
KV_MODE = none
NO_BINARY_CHECK = true
SHOULD_LINEMERGE = false
category = Structured
description = Comma-separated value format. Set header and other settings in "Delimited Settings"
disabled = false
pulldown_type = true
答案 0 :(得分:0)
您的所有文件名都不正确。它们应如https://docs.splunk.com/Documentation/Splunk/latest/Data/IngestEval所述:
您未提供您使用的Splunk Enterprise版本-要求7.2或更高版本。
进行这些更改后,您的应该可以工作。
我正在使用以下内容:
transforms.conf
INGEST_EVAL = eval_user="test", event_length=length(_raw)
fields.conf
INDEXED = True
props.conf
category = Custom
pulldown_type = 1
SHOULD_LINEMERGE=FALSE
TRANSFORMS=timestampeval
请注意,对于大多数此类更新,无需重新启动Splunk-而是可以致电http://:8000 / zh-CN / debug / refresh