Почему Splunk не распознает эти поля?

Question

Я новичок в Splunk, простите, если мне нужно предоставить больше информации.

Я создаю журналы, которые отслеживают метрики нескольких веб-сайтов с конечной целью отправки мне оповещений при изменении значения.

Я пересылаю логи на индексатор Splunk.Мой журнал имеет следующий формат:

fetchTime: 2018-12-02T18:33:56.621Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.70
fetchTime: 2018-12-02T18:34:50.345Z
fooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.90
fetchTime: 2018-12-03T18:35:50.750Z
fooVersion: 3.2.1
requestedUrl: https://cats.com/
finalUrl: https://cats.com/
accessibilityScore: 0.72
fetchTime: 2018-12-03T18:36:06.868Z
FooVersion: 3.2.1
requestedUrl: https://example.com/
finalUrl: https://example.com/
accessibilityScore: 0.88

События отображаются в Splunk, как я и надеялся:

Но яожидал, что Splunk сможет легко идентифицировать их как «Интересные поля».

Что-то не так с моим форматом журнала?Должен ли я сделать собственный экстрактор поля, поскольку он не идентифицирует их?Или что-то не правильно настроено в Splunk?

Заранее спасибо.

Answer 1

Они не указаны как "Интересные поля", поскольку поля не были извлечены.Splunk ожидает найти поля в формате ключ = значение.Если данные не в этом формате (например, у вас), вам нужны настройки в файле props.conf, чтобы сообщить Splunk, как следует интерпретировать ваши данные.Начните со следующего:

[mysourcetype]
TIME_PREFIX = fetchTime: 
TIME_FORMAT = %Y-%m-%dT%H:%M:%S.%3N%Z
MAX_TIMESTAMP_LOOKAHEAD = 24
SHOULD_LINEMERGE = true
BREAK_ONLY_BEFORE = ^fetchTime
TRANSFORM-fields = mysourcetypefields

В transforms.conf добавьте:

[mysourcetypefields]
REGEX = ([^:]+):\s(\S+)
FORMAT = $1::$2