У меня есть несколько приложений, в которые я хочу войти в Splunk. Я буду отправлять данные в формате XML через прослушиватель UDP. Отправляемые данные выглядят так:
<log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15">
<log4j:message>New session started</log4j:message>
<log4j:properties>
<log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)" />
<log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON" />
</log4j:properties>
</log4j:event>
Однако, когда он обрабатывается Splunk, он выглядит как:
Apr 26 16:18:09 127.0.0.1 <log4j:message>New session started</log4j:message><log4j:properties><log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)"/><log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON"/></log4j:properties></log4j:event>
В основном это выглядит так, как будто Splunk перезаписал открывающий узел и в результате потерял данные уровня журнала с указанием даты и времени, когда он их получил. Приложения, которые его отправляют, используют nLog с целью типа log4j (с макетом Log4JXmlEventLayout). Я настроил исходный тип как log4jxml (пользовательское имя), но я думаю, что мне нужно сказать, чтобы он не делал что-то с полем даты / времени в файле props.conf (но не слишком уверен, что это такое).
Я также использую версию Splunk для Windows, поэтому пути к файлам немного отличаются от онлайновых руководств.
Любая помощь будет приветствоваться.