1. ホーム
  2. 質問と答え
  3. SplunkでJSONフィールドを抽出できません

SplunkでJSONフィールドを抽出できません

2017-11-27 166 views
0

syslog入力からJSONフィールドを抽出しようとしています。私は次の行を追加しました./etc/system/default/props.confSplunkでJSONフィールドを抽出できません

[mylogtype] 
SEDCMD-StripHeader = s/^[^{]+// 
INDEXED_EXTRACTIONS = json 
KV_MODE = none 
pulldown_type = true

SEDCMD作品。 syslogsヘッダーが削除されます。

enter image description here

しかし、JSONフィールドは解析されません。

アイデア?

出典

2017-11-27 daisy

答えて

0

解決済み。 props.confで次の設定を使用してください。

[yourlogtype] 
SEDCMD-StripHeader = s/^[^{]+// 
KV_MODE = json 
pulldown_type = true

出典

2017-11-28 00:16:36 daisy

関連する問題

 関連する問題