如何使用 MS Splunk 插件更改从 Azure 日志导入 Splunk 的行为

Question

我有一些 webjobs 设置并部署到 Azure，System.Diagnostics.Trace 输出会自动上传到 (blob db)/(service name)/(year)/(month)/(day)/(hour) /(instance-id)-(pid).applicationLog.csv.

我有 MS Splunk 插件读取这些 blob，如下所示： http://docs.splunk.com/Documentation/AddOns/released/MSCloudServices/Configureinputs5

导入工作正常，所以现在我正在寻找一种通过几种方式更改默认行为的方法：

1. Splunk 将数据源报告为完整的 blob 名称，例如“MyService/2017/07/15/1234-5678.applicationLog.csv”

期望：Splunk 仅报告服务名称的数据源，例如“MyService”。这将使搜索源更容易

1. Splunk 在主机上安装 Splunk 时报告数据的主机

期望：Splunk 将主机报告为 (instance-id)，它位于导入文件的名称和文件的每一行中。

1. （这是最重要的！）Splunk 将数据的时间报告为通过插件导入 Splunk 的时间。

期望：Splunk 报告生成日志时给出的时间；此值在 .csv 文件的有效负载中

这里有什么想法吗？

Answer 1

问题 1.. 为什么要更改源位置？ Splunk 最佳实践要求整个路径都在源中，更好的搜索方法是指定源类型。如果您真的一心想要更改源，那么您可以使用host_segment。这可以在转发器上的inputs.conf 中完成。

https://answers.splunk.com/topics/host_segment.html

问题 2.. 您可以通过在转发器机器上编辑 inputs.conf 来覆盖任何主机值。 opt/splunkforwarder/etc/system/local 优先于所有其他路径，应避免使用。一个更好的地方是/opt/splunkforwader/etc/apps/search/local。修改那里的inputs.conf 并重新启动 splunkd 后，您应该会看到更改生效

问题 3.. 这是什么数据？您是直接将网络流量流式传输到 Splunk 还是转发日志文件？如果是后者，这些日志文件是否具有与之关联的正确日期和时间？如果是这样，那么您需要修改索引器上的 props.conf 以识别时间戳。