INGEST_EVAL в дополнительном поле не отображается

Question

У меня есть CSV-файл, который вручную загружается в Splunk.Я хочу выполнить INGEST_EVAL для файла, однако изменения не распространяются после перезапуска.Я не уверен почему.Ничего не показываетЭто код - что я делаю не так?мне нужно изменить любую другую конфигурацию на веб-стороне Splunk?(результаты не отображаются ни в разделе предварительной загрузки, где указан тип источника).

transform.props : 
[myeval]
INGEST_EVAL = eval_user="test"

field.props : 
[myeval]
INDEXED = True

props.config 

[newfieldsourcetest]
TRANSFORMS = myeval
DATETIME_CONFIG = 
INDEXED_EXTRACTIONS = csv
KV_MODE = none
NO_BINARY_CHECK = true
SHOULD_LINEMERGE = false
category = Structured
description = Comma-separated value format. Set header and other settings in "Delimited Settings"
disabled = false
pulldown_type = true

Answer 1

Все ваши имена файлов неверны.Они должны быть такими, как описано в https://docs.splunk.com/Documentation/Splunk/latest/Data/IngestEval:

• transforms.conf
• fields.conf
• props.conf

Вы делаетене указывайте, какую версию Splunk Enterprise вы используете - требуется версия 7.2 или выше.

После внесения этих изменений ваша версия должна работать.

Я использую следующее:

transforms.conf

INGEST_EVAL = eval_user="test", event_length=length(_raw)

fields.conf

INDEXED = True

props.conf

category = Custom
pulldown_type = 1
SHOULD_LINEMERGE=FALSE
TRANSFORMS=timestampeval

Обратите внимание, что для большинства этих обновлений нет необходимости перезапускать Splunk - вместо этого вы можете позвонить http://:8000/en-US/debug/refresh