0

I am using java rest api sdk to retrieve events from the Splunk's search app. I retrieved the field called splunk_server during search time and i set the value for it. Then i tried to format the log message in a key=value pair pattern. eg. splunk_server=remoteserver. I wanted the value for the splunk_server that i set to appear for the new event added to splunk. But the default value appeared instead.

Is there any way to set the value for the splunk_server and show the value i set in Splunk server whenever i add new events?

4

1 回答 1

0

这有两个支点。首先在搜索时,您可以丰富事件。这是在很多查找场景中完成的。例如,在搜索时,您可以根据保存在 Splunk 中的另一个字段的值添加字段 splunk_server。然而,这个新领域不会在 Splunk 中持续存在。它只会通过管道传输到您的搜索结果。

然后可以将数据添加到 splunk 并创建一个附加字段并设置该值。splunk_server 不是 Splunk 中的特殊字段,您绝对可以在摄取时执行此操作。

我们的开发者网站有更多关于 Java SDK 的信息:http: //dev.splunk.com/view/java-sdk/SP-CAAECN

问题中的更多细节会有所帮助。

于 2012-04-04T16:45:36.167 回答