在Splunk中忽略正在索引的日誌文件中的頭文件

Question

對於Splunk（版本6）來說相對較新，甚至比Reg-ex更新，我有日誌文件，並試圖對其頭部進行索引，而不是我需要忽略的日誌文件。有6個標題行。前4個都以*開頭，後兩個是空行。我假設他們只是回車。我正在尋找正則表達式的幫助，在添加數據時，這些正則表達式將忽略transforms.conf文件中的這些行。下面是從日誌文件，我想補充一個例子：

******************************* 
*** This is a Header  *** 
*** 07:32:06 Tue Jan 07 *** 
******************************* 


Jan-07 07:32:06 SERVERNAME:somedatainfo 
Jan-07 07:32:06 SERVERNAME:moredatainfo 

Answer 1

在轉發或索引您可以設置被監視的文件sourceType的。

# in inputs.conf 
[monitor:///path/to/your/file] 
sourcetype=new_sourcetype 

在索引器，你可以擺脫第一線的是這樣的：

# in props.conf 
[new_sourcetype] 
TRANSFORMS-test=ignore_header 

#in transforms.conf 
[ignore_header] 
REGEX=^\*\*\*+ 
DEST_KEY=queue 
FORMAT=nullQueue