splunk - 如何使用不同的时间戳格式解析多行 Java EE 日志 splunkstorm

Question

我有看起来像这样的日志：

2012 年 6 月 19 日上午 7:15:59 org.apache.catalina.core.StandardEngine 开始

信息：启动 Servlet 引擎：Apache Tomcat/6.0.29

时间戳不遵循 ISO 8601。有什么方法可以根据上述格式实现隔离？现在它正在随机合并多条线路。

score 0 · Accepted Answer

在 splunk 中创建新的源类型为

[javaee_logs]
BREAK_ONLY_BEFORE=^\w\w\w\s\d{2},\s\d{4}\s\d+:\d{2}:\d{2}
NO_BINARY_CHECK=1
SHOULD_LINEMERGE=true
TIME_FORMAT=%b %d, %Y %H:%M:%S %p
TIME_PREFIX=^

splunk - 如何使用不同的时间戳格式解析多行 Java EE 日志 splunkstorm

1 回答 1

Related

Reference