我的主机上已经有一个 splunk 转发器设置。
我在文件夹(/tom/mike/)中有某些文件。文件名以 Back* 开头。
文件的内容可以是一行或多行。每行中有多个固定位置值,用一些空格分隔,没有标题。
内容(示例:将“-”视为一个空格)
汤姆---516-----RTYUI-----45678 米克---345-----XYXFF-----56789
我需要每一行的 splunk 日志。
喜欢:
键 1= 汤姆键 2=516 键 3= RTYUI 键 4= 45678 Key1= Mike Key2= 345 Key3= XYXFF Key4= 56789
我知道inputs.conf更改如下:
[监视器:///tom/mike/Back*] 索引=我的索引 黑名单=\.(gz|zip|bkz|arch|etc)$ sourcetype = BackFileData
请建议可以在 props.conf 中进行的更改。请记住,行中的每个值的分隔符都是固定的,但所有列值的分隔符都不相同(如 2 个空格)。这些文件中也没有标题。