傾銷XML日誌文件轉換成Splunk的

我想傾倒在Splunk的保存下列XML日誌文件記住一個事實，即它應該給所有的標籤作爲一個領域，這樣我可以搜索的事件，其中傾銷XML日誌文件轉換成Splunk的

文本=」應用：目錄開始」類別= 「BIG」模塊= 「WorkflowHost」

我應該在props.conf

<Message> 
    <ID> 
    b476f836-36dd-4c30-9a8e-0587c5d34b8d- 
    </ID> 
    <Date> 
    2014-01-09 10:45:31.69 
    </Date> 
    <Text> 
    Application: Directory started 
    </Text> 
    <Category> 
    BIG 
    </Category> 
    <Source> 
    Workflow 
    </Source> 
    <Level> 
    Event 
    </Level> 
    <Class> 
    General 
    </Class> 
    <Module> 
    WorkflowHost 
    </Module> 
    <LineNumber> 
    0 
    </LineNumber> 
    <ProcessID> 
    5420 
    </ProcessID> 
    <User> 
    e2ac3262e9b9d03f 
    </User> 
</Message> 


<Message> 
    <ID> 
    b476f836-36dd-4c30-9a8e-0587c5d34b8d 
    </ID> 
    <Date> 
    2014-01-09 10:45:41.57 
    </Date> 
    <Text> 
    Application: PatientDirectory started 
    </Text> 
    <Category> 
    BIG 
    </Category> 
    <Source> 
    PatientDirectory 
    </Source> 
    <Level> 
    Event 
    </Level> 
    <Class> 
    General 
    </Class> 
    <Module> 
    PatientDirectory 
    </Module> 
    <LineNumber> 
    0 
    </LineNumber> 
    <ProcessID> 
    2180 
    </ProcessID> 
    <User> 
    e2ac3262e9b9d03f 
    </User> 
</Message>

請幫助寫.... :)

來源

2014-07-23 user3868561

在你的道具。 CONF節的索引，添加

KV_MODE=xml

這會自動提取所有字段和值。

您可以找到props.conf文件文檔在這裏更多的細節：

http://docs.splunk.com/Documentation/Splunk/latest/Admin/propsconf

來源

2014-08-01 04:32:05

傾銷XML日誌文件轉換成Splunk的

回答

相關問題