如何将 sub-json 对象转发到 splunk 索引器
How to forward sub-json object to splunk indexer
我的应用程序将日志数据写入磁盘文件。日志数据是一行 json 如下。我使用 splunker-forwarder 将日志发送到 splunk 索引器
{"line":{"level": "info","message": "data is correct","timestamp": "2017-08-01T11: 35:30.375Z"},"source": "std"}
我只想将子json 对象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"} 发送到splunk 索引器,而不是整个json。我应该如何配置 splunk 转发器或 splunk 索引器?
您可以使用 sedcmd 在数据被索引器写入磁盘之前删除数据。
将此添加到您的 props.conf
[Yoursourcetype]
#...Other configurations...
SEDCMD-removejson = s/(.+)\:\{/g
这是一个索引时间设置,因此您需要重新启动 splunkd 才能使更改生效
我的应用程序将日志数据写入磁盘文件。日志数据是一行 json 如下。我使用 splunker-forwarder 将日志发送到 splunk 索引器
{"line":{"level": "info","message": "data is correct","timestamp": "2017-08-01T11: 35:30.375Z"},"source": "std"}
我只想将子json 对象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"} 发送到splunk 索引器,而不是整个json。我应该如何配置 splunk 转发器或 splunk 索引器?
您可以使用 sedcmd 在数据被索引器写入磁盘之前删除数据。
将此添加到您的 props.conf
[Yoursourcetype]
#...Other configurations...
SEDCMD-removejson = s/(.+)\:\{/g
这是一个索引时间设置,因此您需要重新启动 splunkd 才能使更改生效