0
我的主機上已經有splunk轉發器設置。如何使用Splunk Forwarder爲沒有標題和日誌的文件轉發日誌應該採用鍵/值的形式
我在文件夾(/ tom/mike /)上有某些文件。文件名以Back *開頭。
文件內容可能在一行或多行。有多個固定的位置值,每行中有一些空格分隔,沒有標題。
內容(例如:考慮 「 - 」 作爲一個空間)
湯姆--- 516 ----- ------ RTYUI 45678
Mik的--- --- 345 --XYXFF ------ 56789
我需要每行的分段日誌。
,如:
鍵1 =湯姆鍵2 = 516鍵3 = RTYUI鍵4 = 45678
鍵1 =邁克鍵2 = 345鍵3 = XYXFF鍵4 = 56789
我知道inputs.conf變化會如下所示。
[監視器:///湯姆/麥克風/後退*]。
指數= myIndex
黑名單=(GZ |拉鍊| BKZ |拱|等)$
sourceType的= BackFileData
請建議在props.conf中完成的更改。請記住,分隔符對每個值都是固定的,但對於所有列值不同(如2個空格)。這些文件中也沒有標題。
如何製作一個transforms.conf規則並將其應用於props.conf? – user2187367
它們應該位於您的索引器下的'/ opt/splunk/etc/apps//local' –
skoelpin