如何將子json對象轉發到splunk索引器
[英]How to forward sub-json object to splunk indexer
問題描述
我的應用程序將日志數據寫入磁盤文件。 日志數據為單行json,如下所示。 我使用splunker-forwarder將日志發送到splunk indexer
{“ line”:{“ level”:“ info”,“ message”:“數據正確”,“ timestamp”:“ 2017-08-01T11:35:30.375Z”},“ source”:“ std”}
我只想將子json對象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"}發送給索引器,不是整個json。 我應該如何配置splunk轉發器或splunk索引器?
1 個解決方案
解決方案1
1 已采納 2017-08-02 20:05:22
您可以使用sedcmd刪除索引器將其寫入磁盤之前的數據。
將此添加到您的props.conf
[Yoursourcetype] #...Other configurations... SEDCMD-removejson = s/(.+)\\:\\{/g
這是一個索引時間設置,因此您需要重新啟動splunkd才能使更改生效
如何有選擇地將日志文件轉發到Splunk中的特定索引?
[英]How to selectively forward the log files to specific indexes in Splunk?
如何在 Splunk 中觸發警報時將 Splunk 令牌值傳遞到 Slack 塊(json 代碼)
[英]How to pass Splunk Token Value into Slack block( json Code )when alert trigger in Splunk
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
splunk 4.3.3索引器過濾問題
Splunk UF 不向索引器發送數據
如何有選擇地將日志文件轉發到Splunk中的特定索引?
如何將 Splunk Universal Forward 安裝為服務?
如何將 JSON 文件解析為 SPLUNK?
如何從 Splunk 中的 JSON 字符串中提取字段
Splunk 查詢 javascript object 到 JSON 字符串
如何在 Splunk 中觸發警報時將 Splunk 令牌值傳遞到 Slack 塊(json 代碼)
Splunk:如何啟用 Splunk SSO
如何將 json 數據發送到 splunk HEC 或 splunk 企業
相關標簽