我正在使用 Splunk 来索引具有多个同名字段的日志。所有字段含义相同:2012-02-22 13:10:00,ip=127.0.0.1,to=email1@example.com,to=email2@example.com
在此事件的自动提取中,我只为“to”字段提取了“email1@example.com”。如何确保提取所有值?
谢谢!
问问题
3429 次
1 回答
2
我认为将其添加到搜索的末尾可能会这样做:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
(“表”仅用于演示)。
所以,我认为,在“transforms.conf”(来自http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconf)中:
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
并在“props.conf”中引用它:
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
其中 'eventtype::my_custom_eventtype' 可以是任何作为 'props.conf' 规范(http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf中的<spec> )的东西。
于 2012-05-14T17:29:11.343 回答