Question

Я использую Splunk для индексации журналов с несколькими полями с одинаковыми именами. Все поля имеют одинаковое значение: 2012-02-22 13: 10: 00, ip = 127.0.0.1, to = email1 @ example.com, to = email2 @ example.com

При автоматическом извлечении этого события я извлекаю только «email1@example.com» для поля «to». Как я могу убедиться, что все значения извлечены?

Спасибо!

Troy Johnson · Answer 1 · 14 мая 2012

Я думаю, добавив это в конец поиска, это может сделать это:

| extract pairdelim="," kvdelim="="  mv_add=t | table to

(«таблица» только для демонстрации).

Итак, я думаю, в 'transforms.conf' (из http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconf) поставить:

[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true

и ссылка на него в 'props.conf':

[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction

где 'eventtype :: my_custom_eventtype' может быть любым, что работает как спецификация 'props.conf' ( в http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf).

Splunk: извлечение нескольких полей с одинаковым именем

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk: извлечение нескольких полей с одинаковым именем

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы