问题标签 [splunk-hec]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
database - Splunk:对多个数据源执行相同的查询
我有多个具有相同结构的数据库(> 100)。对于业务监控,我有大约 80 个查询来检查数据库中的信息。现在,我想在每个数据库上执行每个查询并将结果加载到 splunk 中。在 splunk 中,是否可以一次定义 >100 个数据库连接和一次定义 80 个查询,然后执行一些“魔术”步骤来执行每个数据库上的每个语句?我不想为数据库和查询的每个组合创建一个新连接。
json - Splunk 查询从 json 日志事件中检索值并将其获取到表中
我有一个像这样的 json 格式的日志事件
我需要一个 splunk 查询来获取主机内部属性作为值,以便在表中获取它。请帮我。
python - 使用 splunk_hec_handler 将 python 日志发送到 Splunk 的问题
我正在使用Python 日志库将日志推送到 splunk。此包使用 HEC 方法将日志推送到 splunk。
我面临的问题是,在我的应用程序中的许多记录器语句中,我希望有选择地只使用少数记录器语句而不是全部。所以我在下面创建了一种方法,它转换 json 中的字符串日志(键/值)并推送到 splunk。所以我在我希望推送到 splunk 的记录器语句之后调用此方法。但是休息一下我不想发送给 splunk 的所有记录器语句,它们也被推送给 splunk。
为什么会这样?
splunk - Splunk HEC 源类型覆盖将所有事件映射到单个转换
我有一个 Splunk 实例在 Docker 中作为 HEC 运行。我想在每个事件的基础上实现源类型覆盖。为此,我在目录下添加了props.conf和transforms.conf文件$SPLUNK_HOME/etc/system/local。
文件定义如下
props.conf如下图所示
transforms.conf如下图所示
当我发送一个原始事件时,HEC 将它映射到源类型,test_transform_default即使该事件与任何一个test_transform_first或test_transform_second转换都是完美匹配的。
以下是相同的屏幕截图
为了确保正则表达式在 Splunk 上兼容,我运行了以下搜索查询并得到了预期的结果
结果如下
值得注意的一点是,默认变换被指定为最后一个变换props.conf
问题的可能原因是什么?