Splunk - stop break-by时间戳
抱歉,Splunk新手...我有一个日志文件,其中的条目如下所示:
"15/11/2017 20:20:59","0","1803.xml",“复制到亚马逊S3",5,"O”"15/11/2017 20:21:00","0","1260.xml",“复制到亚马逊S3",5,"O”"15/11/2017 20:21:00","0","2415.xml",“复制到亚马逊S3",5,"O“"15/11/2017 20:21:01","0","134.xml",”复制到亚马逊S3",5,"O“"15/11/2017 20:21:01","0","808.xml",”复制到亚马逊S3",5,"O“"15/11/2017 20:21:02","0","261.xml",”复制到亚马逊S3",5,"O“"15/11/2017 20:21:02","0","646.xml",”已复制到亚马逊S3",5,"O“"15/11/2017 20:21:03","0","1157.xml",”已复制到亚马逊S3",5,"O“
Splunk按时间戳(字段1)将其分解为事件,但因为上面的条目具有重复的时间戳,所以我只获得每个日期的第一个事件。
如何确保每一行都有自己的事件?
回答 2
Stack Overflow用户
发布于 2017-11-17 21:40:28
我必须创建一个新的源类型
- SHOULD_LINEMERGE = false 2已删除BREAK_ONLY_BEFORE attribute
并将数据源指向此
Stack Overflow用户
发布于 2017-11-22 03:03:36
在Splunk专业服务领域,我们将这些称为“基本配置”,这些配置应该应用于所有新的数据源。您将基本配置与源类型绑定在一起,因此下面将用您的源类型替换my_sourcetype。
在大多数情况下,应该将SHOULD_LINEMERGE设置为false,并且应该使用line_breaker而不是break_only_before。如果你在一个小环境中,你当前的设置可能会正常工作,但是当你开始缩放时,你的索引器将会超载。
将这些应用于索引器上的props.conf
[my_sourcetype]
TIME_PREFIX = \"
MAX_TIMESTAMP_LOOKAHEAD = 25
TIME_FORMAT = %d/%m/%Y %H:%M:%S
LINE_BREAKER = ([\r\n])\"\d+\/\d+\/\d+\s\d+:\d+:\d+\"
SHOULD_LINEMERGE = False
TRUNCATE = 10000https://stackoverflow.com/questions/47334167
复制相似问题
腾讯云开发者
