【问题标题】:Why is Splunk not showing miliseconds for JSON?为什么 Splunk 不显示 JSON 的毫秒数?
【发布时间】:2021-08-03 12:52:54
【问题描述】:

你好,

Splunk 未显示 JSON 日志的毫秒数。我在 splunk 社区中找到了一些问题和答案,但没有成功。

说明:

我有 HF、索引器集群和搜索头集群。

HF props.conf

    [k8s:dev]
#temporary removed to fix 123123
#INDEXED_EXTRACTIONS = JSON
TIME_PREFIX = {\\"@timestamp\\":\\"
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%6N
TRUNCATE = 200000
TRANSFORMS-discard_events = setnull_whitespace_indented,setnull_debug_logging
SEDCMD-RemoveLogProp = s/("log":)(.*)(?="stream":)//

HF transforms.conf

[setnull_java_stacktrace_starttab]
SOURCE_KEY = field:log
REGEX = ^\tat\s.*
DEST_KEY = queue
FORMAT = nullQueue

[setnull_whitespace_indented]
SOURCE_KEY = field:log
REGEX = ^\s+.*
DEST_KEY = queue
FORMAT = nullQueue

[setnull_debug_logging]
SOURCE_KEY = field:log
REGEX = .*?\sDEBUG\s
DEST_KEY = queue
FORMAT = nullQueue

搜索 props.conf

#workaround, see 123123


[k8s:dev]
KV_MODE = json

Web ADD DATA in HF 和 SEARCH 中的一切看起来都很好。

但不是在我搜索它时。

我只能插入部分 JSON。

{"log":"{\"@timestamp\":\"2021-08-03T09:00:57.539+02:00\",\"@version\":\"1\",\"message\":

问题是:

1.我做错了什么?

  1. 是否可以在搜索时为 KV_MODE 配置 TIME_PREFIX 和 TIME_FORMAT?因为据我所知,它们在解析过程中用于 HF。

  2. 是否可以配置KV_MODE?

非常感谢您的建议。

【问题讨论】:

    标签: json timestamp config splunk forwarding


    【解决方案1】:

    实际进入_time 的值在Unix 纪元seconds

    无论您使用TIME_FORMAT= 寻找什么精度都没有关系......它仍然只会在整秒内进入_time

    如果您想保留更高分辨率的值以供其他方式使用,则需要为它们添加特定的字段提取。

    由于这是 JSON,您可以可能在搜索中执行以下操作:

    ...
    | eval timestamp=strftime('@timestamp',"%Y-%m-%dT%H:%M:%S.%6N"))
    ...
    

    【讨论】:

      猜你喜欢
      • 2013-03-17
      • 2012-12-11
      • 2011-02-04
      • 1970-01-01
      • 2021-08-24
      • 2019-04-09
      • 2017-10-24
      • 1970-01-01
      相关资源
      最近更新 更多