我正在使用java rest api sdk从Splunk的搜索应用程序中检索事件。我在搜索时检索了名为splunk_server的字段,并为其设置了值。然后我尝试以key = value对模式格式化日志消息。例如。 splunk_server = REMOTESERVER。我想要为splunk添加的新事件设置的splunk_server的值。但是出现了默认值。
有没有办法设置splunk_server的值,并在我添加新事件时显示我在Splunk服务器中设置的值?
答案 0 :(得分:0)
这有两个关键点。首先,在搜索时,您可以丰富事件。这在很多查找场景中完成。例如,在搜索时,您可以根据Splunk中保留的另一个字段的值添加字段splunk_server。然而,这个新领域不会在Splunk中持续存在。只会通过管道搜索您的搜索结果。
然后可以将数据添加到splunk并创建一个额外的字段并设置该值。 splunk_server不是Splunk中的特殊字段,你绝对可以在摄取时间那样做。
我们的开发者网站提供了有关Java SDK的更多信息:http://dev.splunk.com/view/java-sdk/SP-CAAAECN
问题中的更多细节虽然会有所帮助。