如何使用 Splunk Forwarder 为没有标题的文件转发日志,日志应采用键/值的形式

【问题标题】:How to forward logs with Splunk Forwarder for the files with no header and logs should be in form of key/Value如何使用 Splunk Forwarder 为没有标题的文件转发日志,日志应采用键/值的形式
【发布时间】:2018-05-15 19:57:29
【问题描述】:

我的主机上已经设置了 splunk 转发器。

我在文件夹 (/tom/mike/) 中有某些文件。文件名以 Back* 开头。

文件的内容可以是一行或多行。有多个固定位置值,每行用一些空格分隔,没有标题。

内容(示例:将“-”视为一个空格)

汤姆---516-----RTYUI-----45678 米克---345-----XYXFF-----56789

我需要每一行的 splunk 日志。

喜欢:

键 1= 汤姆键 2=516 键 3= RTYUI 键 4= 45678 Key1= Mike Key2= 345 Key3= XYXFF Key4= 56789

我知道 inputs.conf 更改如下:

[监视器:///tom/mike/Back*] 索引=我的索引 黑名单=\.​​(gz|zip|bkz|arch|etc)$ sourcetype = BackFileData

请建议可以在 props.conf 中进行的更改。请记住,行中的每个值的分隔符都是固定的,但所有列值的分隔符都不相同(如 2 个空格)。这些文件中也没有标题。

【问题讨论】:

    标签: splunk splunk-query


    【解决方案1】:

    如果您想要搜索时提取,您可以使用 kvdelims,或者您可以制定一个 transforms.conf 规则并将其应用到 props.conf 中,它将在索引时提取

    这是一篇涵盖所有这些场景的好文章

    https://www.splunk.com/blog/2008/02/12/delimiter-based-key-value-pair-extraction.html

    【讨论】:

    • 如何制定 transforms.conf 规则并应用到 props.conf 中?
    • 它们应该位于您的索引器上的/opt/splunk/etc/apps/<app-name>/local
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode