考虑到主机名“host”比“host”键更重要,如何阻止 Splunk?
假设我有以下日志:
颜色=红色;主机=本地主机
颜色=蓝色;主机 = 新主机
以下查询工作正常:
index=myindex | stats count by color
但以下没有:
index=myindex | stats count by host
因为它没有将“主机”视为日志中的键,而是将主机标头视为“主机”。
我该如何处理?
问问题
53 次
1 回答
2
当有两个同名字段时,其中一个必须“获胜”。在这种情况下,它是 Splunk 在处理事件本身之前定义的。您可能知道,每个事件在输入时都有 4 个字段:index、host、source和sourcetype。除非在配置文件中明确告知这样做,否则来自事件的数据不会覆盖这些数据。
要覆盖设置,请将其放入您的 transforms.conf 文件中
[sethost]
REGEX = host\s*=\s*(\w+)
DEST_KEY = MetaData:Host
FORMAT = host::$1
您还需要在 props.conf 文件中引用转换
[mysourcetype]
TRANSFORMS-host = sethost
于 2020-07-11T16:46:31.377 回答