0

我正在尝试创建一个 splunk 将读取并索引的日志文件。使用 Splunk 的Common Information Model,我将日志格式化如下:

2011-30-07 12:30:37 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:31:35 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:32:02 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
etc...

但是,当我将一个日志文件加载到 Splunk 中时,它会将这一切作为一个日志读取,并且不会将它们拆分!要在 c# 中写出日志,我使用的是 StreamWriter,最后我正在打印\r\n,但我也尝试过Environment.NewLine(显然做同样的事情)。

这些似乎都不起作用,因此不单独索引!有没有人有 Splunk 的经验并知道为什么会这样?

4

3 回答 3

1

我从来没有使用过splunk,所以我真的不知道我是否正确。

但是,如果我看一下规格(您提供的链接),它们似乎使用双引号,而在您的示例中,您输入了单引号。所以也许你所要做的就是替换name='Name'name="Name"?

另一点可能是您必须为标签提供一些信息vendorproduct进行一些拆分?

但这都是推测性的,因为我真的不知道这个工具。

更新

在深入他们的网站后,您可以在他们的比较表中看到您还可以获得对免费版本的基本支持。因此,也许只需获取您喜欢的支持访问权限,并从该工具的创建者那里获得答案。他们绝对应该知道为什么您的消息不起作用。

于 2011-02-07T13:05:20.180 回答
0

只需使用 log4net,并使用 syslog 模块。

将 syslog 指向 splunk 上的 udp 侦听器。

然后转眼!效果很好!

(我们让它完美地工作,但是因为它太贵了,所以正在倾销 splunk。在你跳跃之前看看!)

于 2011-02-23T22:08:32.240 回答
0

感谢 Oliver 让我成功了一半。我联系了 Splunk 的一位开发支持人员,虽然他们没有看到答案,但我自己想通了。

虽然 Splunk 非常擅长使用日志文件计算日期,但如果它无法识别日期格式,它将不会解析它,因此将整个字符串作为事件放入!问题是日期的格式错误......即 Ydm 应该是 Ymd!

于 2011-02-11T14:03:15.627 回答