SPLUNK中损坏字段问题的原因是什么?
在过去的25天里,我在下面的搜索中遇到了一个问题:
index=syslog Reason=“接口物理链路已关闭”或“Reason=”接口物理链路已启动“NOT mainIfname="Vlanif*”"nw_ra_a98c_01.34_krtti“
通常情况下,field7值如下所示:
Region field7 Date mainIfname Reason count ASYA nw_ra_m02f_01.34pndkdv可能9 is以太网0/3/6接口物理链路打开3 ASYA nw_ra_m02f_01.34pldtwr可能9 is Ethernet0/3/24接口物理链路打开2
但最近他们是这样的:
00:00:00.599 nw_ra_a98c_01.34_krtti 00:00:03.078 nw_ra_a98c_01.34_krtti
我认为问题可能与以下因素有关:
它开始发生在磁盘可用警报之后。(-Cri-交换预留,瓶颈情况,当前值: 95.00%超出配置阈值: 90.00%。:07:17 17/02/20)特别是这不是关于磁盘,而是关于交换空间,应用程序完成内存,然后转到交换使用。以前有内存增加,但显然是不够的,它再次切换到交换。我需要理解:“为什么他们要使用这么多资源?”
一个有问题的:
正常的一个:
回答 1
Stack Overflow用户
发布于 2020-06-04 07:16:05
您需要提供示例事件,一个来自正常情况,另一个来自有问题的情况。
您的环境中似乎有人为field7开发了一个字段提取,该提取错误地解析了事件。
或者,发送syslog数据的设备可能存在问题并报告错误。根据设备的不同,您最好使用splunkbase.splunk.com中的TA从事件中提取相关信息
https://stackoverflow.com/questions/62171943
复制相似问题
腾讯云开发者
