如何将子json对象转发给splunk索引器
如何将子json对象转发给splunk索引器
提问于 2017-08-02 02:37:45
我的应用程序将日志数据写入磁盘文件。日志数据为单行json,如下所示。我使用分批转发器将日志发送到splunk索引器。
{“行”:{“级别”:"info",“消息”:“数据正确”,“时间戳”:"2017-08-01T11:35:30.375Z"},“源”:"std"}
我只想将sub对象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"}发送到splunk,而不是整个json。我应该如何配置splunk转发器或splunk索引器?
回答 1
Stack Overflow用户
回答已采纳
发布于 2017-08-02 20:05:22
在索引器将数据写入磁盘之前,可以使用sedcmd删除数据。
将此添加到props.conf中
[Yoursourcetype]
#...Other configurations...
SEDCMD-removejson = s/(.+)\:\{/g
这是一个索引时间设置,因此您需要重新启动splunkd以使更改生效。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/45450570
复制相关文章
相似问题
腾讯云开发者
