0

我有许多要登录到 Splunk 的应用程序。我将通过 UDP 侦听器以 XML 格式发送数据。正在发送的数据如下所示:

<log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15">
  <log4j:message>New session started</log4j:message>
  <log4j:properties>
    <log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)" />
    <log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON" />
  </log4j:properties>
</log4j:event>

然而,当它由 Splunk 处理时,它看起来像:

Apr 26 16:18:09 127.0.0.1 <log4j:message>New session started</log4j:message><log4j:properties><log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)"/><log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON"/></log4j:properties></log4j:event>

基本上它看起来像 Splunk 看起来它已经覆盖了打开的节点,因此丢失了日志级别的数据,以及它收到它的日期时间。发送它的应用程序使用带有 log4j 类型目标的 nLog(带有 Log4JXmlEventLayout 布局)。我已将 sourcetype 配置为 log4jxml(自定义名称),但我认为我需要告诉它不要对 props.conf 文件中的日期/时间字段执行任何操作(但不太确定那是什么)。

我也在使用 Windows 版本的 Splunk,因此文件路径与在线手册略有不同。

任何帮助都将受到欢迎。

4

1 回答 1

0

事实证明我做错了两件事(也许更多,但我还没有找到那些)在inputs.conf文件中,我需要将以下内容添加到我的输入定义中:

no_priority_stripping = true
no_appending_timestamp = true

我做错的第二件事是将这些文件放入

C:\Program Files\Splunk\etc\system\local\

当它们应该被放入时

C:\Program Files\Splunk\etc\apps\search\local\

我希望这可以帮助其他人

于 2011-04-26T18:08:13.673 回答