如何在Splunk中向事件添加自定义字段?
我想将自定义字段添加到特定索引,并让它们相应地记录日志。
当前只有一些默认字段,例如“主机”,“索引”,“源类型”等...
不确定是否是添加其他数据的最佳位置。
如何添加更多字段?
我目前正在使用Splunk SDK提交事件。
2 个答案:
答案 0 :(得分:1)
通过使用此类最小事件测试Splunk,您正在对自己造成伤害。他们没有让您看到Splunk可以做什么的能力。您仅获得默认字段,因为Splunk不知道用一个单词做什么。如果您有类似“ foo = bar”的名称,那么您会看到Splunk创建了“ foo”字段。
每台计算机都有至少一个可用于测试Splunk的日志文件。
可以使用转换将字段添加到事件。这样做是一个高级主题,无法使用GUI来完成。我建议您在尝试跑步之前先学习使用更好的示例数据。
答案 1 :(得分:0)
我还要提到我是通过Splunk SDK提交事件的。
为了获得我想在活动中显示的字段,我必须提交活动数据作为活动名称。
var myindexes = service.indexes();
// Submit an event to the index
myindexes.fetch(function (err, myindexes) {
let myindex = myindexes.item("audits-client");
let evtData = {
timestamp: Date.now(),
userAgent: headers['user-agent'],
protocol: "http",
file: "null"
}
myindex.submitEvent(evtData, {
sourcetype: "web"
}, function (err, result, myindex) {
console.log("Submitted event: ", result);
return result
});
});
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?