私はセミコロンでファイルを持っています。区切られたテキストファイル。それはsplunkで索引付けされています。テキストファイルから行を検索する
INSERT INTO `account` VALUES ('abc');
INSERT INTO `account` VALUES ('xyz');
INSERT INTO `account` VALUES ('pqr');
INSERT INTO `account` VALUES ('mnp');
「pqr」を検索すると、1行だけが表示されます。現在、次の行 "mnp"も表示しています。ファイルにはタイムスタンプはなく、splunkはまだ日時で行をグループ化しています。例えば、上記のすべての行は、06/09/2011の下にグループとしてリストされています19:01:17.000
セミコロンで区切られたファイルから検索するときに、
タイムスタンプがないため、Splunkは、これが単一のイベント(4行の場合)または4つの別々のイベントかどうかを判断するのが難しい場合があります。すべてのデータはSplunkでタイムスタンプされます。受信データにタイムスタンプがない場合、Splunkは到着時刻をタイムスタンプとして割り当てます。同時に到着するデータは単一のイベントとして解釈されます。あなたのイベントをすることができれば$ SPLUNK_HOME/etc/systemファイル/ローカル/ props.conf
[yoursourcetype]
SHOULD_LINEMERGE=false
DATETIME_CONFIG = CURRENT
に次のように置く「1行に1つのイベント」あなたの着信データのように処理されなければならないことにSplunkを教えて
複数の行とsemicolor(;)のイベントには、次の代わりに
[yoursourcetype]
MUST_BREAK_AFTER = ;
DATETIME_CONFIG = CURRENT
あなたは選択肢を持っている場合は、最初のオプションは、はるかに効率的であるを使用し分離します。どちらの場合も、DATEIME_CONFIGを組み込んで、Splunkに埋め込みタイムスタンプがないことを伝えました。これは入力処理を高速化します。
最後に、「yoursourcetype」をスタンザ内のデータのソースタイプに置き換えます。