Установка значений полей для возврата на сервер Splunk с использованием Java

Question

Я использую java rest api sdk для извлечения событий из поискового приложения Splunk.Я нашел поле с именем splunk_server во время поиска и установил для него значение.Затем я попытался отформатировать сообщение журнала в шаблоне ключ = значение.например.splunk_server = удаленный_сервер.Я хотел, чтобы значение для splunk_server, которое я установил, появилось для нового события, добавленного в splunk.Но вместо этого появилось значение по умолчанию.

Есть ли способ установить значение для сервера splunk_server и показать значение, которое я установил на сервере Splunk, всякий раз, когда я добавляю новые события?

Answer 1

На этом есть два стержня.Сначала во время поиска вы можете обогатить события.Это делается во многих сценариях поиска.Например, во время поиска вы можете добавить поле splunk_server на основе значения другого поля, которое сохраняется в Splunk.Это новое поле, однако, не сохранится в Splunk.Это будет просто передано по результатам вашего поиска.

Затем есть возможность добавить данные в Splunk, создать дополнительное поле и установить это значение.splunk_server не является специальным полем в Splunk, и вы можете сделать это во время загрузки.

На нашем сайте для разработчиков есть больше информации о Java SDK: http://dev.splunk.com/view/java-sdk/SP-CAAAECN

Более подробная информация в этом вопросе была бы полезной.