0
私のホストにはすでにスプランク転送設定があります。ヘッダーとログのないファイルのSplunk Forwarderでログを転送する方法は、キー/値の形式にする必要があります。
フォルダ(/ tom/mike /)に特定のファイルがあります。ファイル名はBack *で始まります。
ファイルの内容は、1行または複数行にすることができます。ヘッダーのない各行にスペースを入れて区切られた複数の固定位置の値があります。
コンテンツ(例:考えてみましょう " - " 1つのスペースとして)
トム--- 516 ----- RTYUI ------ 45678
あるMik --- 345 --- --XYXFF ------ 56789
各行にスプランクログが必要です。
のような:
キー1 =トム・キー2 = 516キー3 = RTYUI KEY4 = 45678
キー1 =マイク・キー2 = 345キー3 = XYXFF KEY4 = 56789
変化は次のようになりinputs.conf私が知っています以下のように。
[モニター:///トム/マイク/戻る*]。
指数= myIndex
ブラックリスト=(GZ |ジップ| BKZ |アーチ|など)$
SOURCETYPE = BackFileData
props.confで行うことができる変更を提案してください。デリミタは、行の各値に対して固定ですが、すべての列の値には同じではありません(2つのスペースなど)。これらのファイルにはヘッダもありません。
どのようにtransforms.confルールを作成し、それをprops.confに適用しますか? – user2187367
これらは、インデクサーの '/ opt/splunk/etc/apps//local'に置かなければなりません –
skoelpin