Splunkを使用して、同じ名前の複数のフィールドを持つログをインデックスします。すべてのフィールドの意味は同じです: 2012-02-22 13:10:00、ip = 127.0.0.1、to = email1 @ example.com、to = email2 @ example.comSplunk:同じ名前の複数のフィールドを抽出する
私は、 "to"フィールドのために抽出された "[email protected]"を得るだけです。すべての値が抽出されていることを確認するにはどうすればよいですか?
ありがとうございます!
私は、これはそれを行うことがあり、検索の最後にこれを追加すると思う:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
( 'テーブルがただデモのためです)。
だから、私が思うに、(http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconfから) 'transforms.conf' に入れる:
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
と 'props.conf' で参照する:
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
「EVENTTYPE :: my_custom_eventtype 'は' props.conf '仕様(<spec> in http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf)として機能するものであれば何でも構いません。