Когда есть два поля с одинаковым именем, одно из них должно «выиграть». В данном случае это тот, который Splunk определяет перед обработкой самого события. Как вы, наверное, знаете, каждому событию во время ввода предоставляется 4 поля: index, host, source и sourcetype. Данные из события не переопределят их, если это специально не указано в файлах конфигурации.
Чтобы переопределить настройки, поместите это в свой файл transforms.conf
[sethost]
REGEX = host\s*=\s*(\w+)
DEST_KEY = MetaData:Host
FORMAT = host::$1
You ' Мне также нужно указать преобразование в вашем файле props.conf
[mysourcetype]
TRANSFORMS-host = sethost