Question

Мы используем Splunk Enterprise v 6.6.3.Все наши проиндексированные события являются необработанными событиями (журналами), и мы планируем использовать Splunk HEC и отправлять события в формате JSON.

Мой вопрос: влияет ли отправка новых событий в формате JSON на все, что мы имеем сегодня вSplunk?

RichG · Answer 1 · 14 февраля 2019

Как только события проиндексированы в Splunk, они не могут измениться.Ничто из того, что вы делаете с новыми событиями, не повлияет на то, что уже есть в Splunk.

Splunk HEC: начать отправку событий в формате JSON с уже существующими необработанными событиями

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk HEC: начать отправку событий в формате JSON с уже существующими необработанными событиями

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы