【发布时间】:2021-08-03 12:52:54
【问题描述】:
你好,
Splunk 未显示 JSON 日志的毫秒数。我在 splunk 社区中找到了一些问题和答案,但没有成功。
说明:
我有 HF、索引器集群和搜索头集群。
HF props.conf
[k8s:dev]
#temporary removed to fix 123123
#INDEXED_EXTRACTIONS = JSON
TIME_PREFIX = {\\"@timestamp\\":\\"
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%6N
TRUNCATE = 200000
TRANSFORMS-discard_events = setnull_whitespace_indented,setnull_debug_logging
SEDCMD-RemoveLogProp = s/("log":)(.*)(?="stream":)//
HF transforms.conf
[setnull_java_stacktrace_starttab]
SOURCE_KEY = field:log
REGEX = ^\tat\s.*
DEST_KEY = queue
FORMAT = nullQueue
[setnull_whitespace_indented]
SOURCE_KEY = field:log
REGEX = ^\s+.*
DEST_KEY = queue
FORMAT = nullQueue
[setnull_debug_logging]
SOURCE_KEY = field:log
REGEX = .*?\sDEBUG\s
DEST_KEY = queue
FORMAT = nullQueue
搜索 props.conf
#workaround, see 123123
[k8s:dev]
KV_MODE = json
Web ADD DATA in HF 和 SEARCH 中的一切看起来都很好。
我只能插入部分 JSON。
{"log":"{\"@timestamp\":\"2021-08-03T09:00:57.539+02:00\",\"@version\":\"1\",\"message\":
问题是:
1.我做错了什么?
-
是否可以在搜索时为 KV_MODE 配置 TIME_PREFIX 和 TIME_FORMAT?因为据我所知,它们在解析过程中用于 HF。
-
是否可以配置KV_MODE?
非常感谢您的建议。
【问题讨论】:
标签: json timestamp config splunk forwarding