Тройной обратный слеш в спленке

Question

У меня есть файл свойств log4j, и когда я пытаюсь поместить логи в спленк, я вижу тройные обратные слеши

{\\\"v\\\":\\\"1.0\\\",\\\"category\\\":\\\"APP\\\",\\\"level\\\":\\\"INFO\\\",\\\"timeStamp\\\"

- это спленк или я могу изменить это в свойствах log4j, поэтому \\\ не отображается ?

Спасибо

Answer 1

Splunk не будет добавлять escape-символы, такие как \\\, поэтому я считаю, что проблема связана с файлом свойств. Откройте его в редакторе и подтвердите, что это так.

При этом вы можете удалить эти символы при входе в Splunk, если не можете удалить символы из источника.

В файле Splunk props.conf вы можете включить следующее. Это удалит все \\\ в файлах, которые загружены с расширением имени файла .properties.

[source::.../*.properties]
SEDCMD-clean-log4j = s/\\\\\\//

Документацию для props.conf можно посмотреть по адресу https://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf#Field_extraction_configuration

Если вы смотрите Java logging, я предлагаю вам взглянуть на один из поддерживаемых Splunk регистраторов (который включал log4j) в https://github.com/splunk/splunk-library-javalogging.