Создание файла журнала, совместимого с Splunk в C # - PullRequest
Новая
       14

Создание файла журнала, совместимого с Splunk в C #

0 голосов
/ 07 февраля 2011

Я пытаюсь создать файл журнала, который splunk будет читать и индексировать. Используя Общая информационная модель Splunk , я отформатировал свои журналы так: 

2011-30-07 12:30:37 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:31:35 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:32:02 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
etc...

Однако, когда я загружаю файл журнала в Splunk, он читает все это как один журнал и не разделяет их! Чтобы записать журнал в c #, я использую StreamWriter, и в конце я печатал \r\n, но я также попытался Environment.NewLine (что, очевидно, делает то же самое).

Кажется, что ни один из них не работает и поэтому не индексируется отдельно! Кто-нибудь имеет опыт работы со Splunk и знает, почему это может быть?

Ответы [ 3 ]

1 голос
/ 07 февраля 2011

Я никогда не использовал Spunk, поэтому я действительно не знаю, прав ли я.

Но если я взгляну на спецификации (вы указали ссылку), то они, кажется, используют двойные кавычки, и в вашем примере вы ввели одинарные кавычки. Так что, возможно, все, что вам нужно сделать, это заменить name='Name' на name="Name"?

Другим моментом может быть то, что вы должны предоставить некоторую информацию для тегов vendor или product, чтобы разделить их на части?

Но это все умозрительно, потому что я действительно не знаю инструмент.

Обновление

Немного покопавшись в их сайте, вы можете увидеть на их сравнительном листе и получить базовую поддержку бесплатной версии. Поэтому, возможно, просто воспользуйтесь поддержкой , который вам нравится, например , и получите ответ от создателей инструмента. Они должны точно знать, почему ваши сообщения не работают.

0 голосов
/ 24 февраля 2011

Просто используйте log4net и используйте модуль syslog.

Направьте системный журнал на прослушиватель udp на splunk.

И затем presto!Прекрасно работает!

(у нас все отлично работает, но мы сбрасываем грязь, потому что это слишком дорого. Посмотри, прежде чем прыгнуть!)

0 голосов
/ 11 февраля 2011

Спасибо Оливеру за то, что он отвел меня туда.Я связался с одним из сотрудников службы поддержки в Splunk, и, хотя они не увидели ответ, я все понял сам.

Хотя Splunk очень хорошо разбирается в датах с файлами журнала, если можетПри распознавании формата даты он не будет анализироваться, поэтому вся строка будет представлена ​​как событие!Проблема заключалась в том, что дата была в неправильном формате ... т.е. Ydm, когда она должна была быть Ymd!

...