Splunk 主机 header 覆盖日志消息中的主机密钥

Question

考虑到主机名“host”比“host”键更重要，如何阻止 Splunk？

假设我有以下日志：

颜色=红色； 主机 = 本地主机
颜色=蓝色； 主机 = 新主机

以下查询工作正常：

index=myindex | stats count by color

但以下没有：

index=myindex | stats count by host

因为它没有将“主机”视为日志中的键，而是将主机 header视为“主机”。

我该如何处理？

Answer 1

当有两个同名字段时，其中一个必须“获胜”。 在这种情况下，它是 Splunk 在处理事件本身之前定义的。 您可能知道，每个事件在输入时都有 4 个字段： index 、 host 、 source和sourcetype 。 除非在配置文件中明确告知这样做，否则来自事件的数据不会覆盖这些数据。

要覆盖设置，请将其放入您的 transforms.conf 文件中

[sethost]
REGEX = host\s*=\s*(\w+)
DEST_KEY = MetaData:Host
FORMAT = host::$1

您还需要在 props.conf 文件中引用转换

[mysourcetype]
TRANSFORMS-host = sethost

Answer 2

我原以为这个解决方案会更突出，但我发现它深埋在 Splunk 文档中。

https://docs.splunk.com/Documentation/Splunk/8.2.6/Metrics/Search

您可以使用“source”、“sourcetype”或“host”等保留字段作为维度。 但是，当提取的维度名称是保留名称时，该名称以“extracted_”为前缀以避免名称冲突。 例如，如果维度名称为“host”，则搜索“extracted_host”以找到它。

所以，在你的情况下：

index=myindex | stats count by extracted_host