Как добавить настраиваемое поле для событий в Splunk?

Question

Я хочу добавить настраиваемые поля к определенному индексу и сделать так, чтобы они регистрировались соответствующим образом.

В настоящее время есть только несколько полей по умолчанию, таких как "host", "index", "sourcetype" и т.д. ...

Не уверен, что это лучшее место для добавления дополнительных данных.

Как добавить дополнительные поля?

В настоящее время я использую Splunk SDK для отправки событий.

Answer 1

Я также хотел бы отметить, что я отправляю события через Splunk SDK.

Чтобы получить поля, которые я хотел показать в событии, я должен был представить данные события в качестве имени события.

    var myindexes = service.indexes();
    // Submit an event to the index
    myindexes.fetch(function (err, myindexes) {
    let myindex = myindexes.item("audits-client");


    let evtData = {
        timestamp: Date.now(),
        userAgent: headers['user-agent'],
        protocol: "http",
        file: "null"
    }

    myindex.submitEvent(evtData, {

        sourcetype: "web"

    }, function (err, result, myindex) {
        console.log("Submitted event: ", result);
        return result
    });
});

Answer 2

Вы оказываете себе медвежью услугу, тестируя Splunk с такими минимальными событиями. Они не дают вам возможности увидеть, на что способен Splunk. Вы получаете только поля по умолчанию, потому что Splunk не знает, что делать с одним словом. Если бы вы что-то вроде «foo = bar», то вы увидели бы, что Splunk создает поле «foo».

На каждом компьютере есть хотя бы один файл журнала, который вы можете использовать для тестирования Splunk.

Можно добавлять поля к событиям, используя преобразования. Это сложная тема, которую нельзя сделать с помощью графического интерфейса. Я предлагаю вам научиться ходить, используя лучшие образцы данных, прежде чем пытаться бежать.