sub-jsonオブジェクトをSplunkインデクサーに転送する方法

Question

私のアプリケーションは、ログデータをディスクファイルに書き込みます。ログデータは以下のように1行jsonです。私はsplunker-forwarderを使ってSplunkインデクサーにログを送信します

{"行"：{"レベル"： "情報"、 "メッセージ"： "データは正しい"、 "タイムスタンプ"： "2017-08- {"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"}をjson全体ではなく、Splunkインデクサーに送信したいと思っています。サブスコープオブジェクト{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"}は、json全体ではなく、splunkインデクサーに送信したいと考えています。 SplunkフォワーダまたはSplunkインデクサはどのように設定する必要がありますか？

Answer 1

インデクサーによってディスクに書き込まれる前に、sedcmdを使用してデータを削除することができます。

にこれを追加するには、props.conf

[Yoursourcetype] 
 

 
#...Other configurations... 
 

 
SEDCMD-removejson = s/(.+)\:\{/g

に影響を与える変更を取るためにあなたがsplunkdを再起動する必要がありますので、これは、インデックスの時間設定です