Поскольку нет метки времени, Splunk может испытывать затруднения при определении, является ли это одним событием (с 4 строками) или 4 отдельными событиями.Все данные помечены в Splunk.Если входящие данные не имеют метки времени, Splunk назначит время прибытия как метку времени - и данные, поступающие «одновременно», могут быть интерпретированы как одно событие.
Чтобы сообщить Splunk, что ваши входящие данные должны быть обработаны как«одно событие на строку», поместите следующее в $ SPLUNK_HOME / etc / system / local / props.conf
[yoursourcetype]
SHOULD_LINEMERGE=false
DATETIME_CONFIG = CURRENT
Если ваши события могут быть несколькими строками, а точка с запятой (;) разделяет события, используйтевместо этого
[yoursourcetype]
MUST_BREAK_AFTER = ;
DATETIME_CONFIG = CURRENT
Если у вас есть выбор, первый вариант гораздо эффективнее.В обоих случаях я включил DATEIME_CONFIG, чтобы сообщить Splunk об отсутствии встроенной временной метки;это ускорит обработку ввода.
Наконец, замените «ваш тип источника» на тип источника ваших данных в строфах.