如何將sub-json對象轉發到splunk indexer

我的應用程序將日誌數據寫入磁盤文件。日誌數據是單行json，如下所示。我使用splunker-forwarder發送日誌到splunk索引器如何將sub-json對象轉發到splunk indexer

{「line」：{「level」：「info」，「message」：「data is correct」，「timestamp」：「2017-08- 01T11：35：30.375Z「}，」source「：」std「}

我想只發送子json對象{"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"} splunk indexer，而不是整個json。我應該如何配置splunk轉發器或splunk索引器？

來源

2017-08-02 Jeffrey

您可以使用sedcmd在數據被索引器寫入磁盤之前刪除數據。

添加到您的props.conf

[Yoursourcetype] 
 

 
#...Other configurations... 
 

 
SEDCMD-removejson = s/(.+)\:\{/g

這是一個索引的時間設置，所以你將需要重新啓動splunkd更改生效

來源

2017-08-02 20:05:22 skoelpin

如何將sub-json對象轉發到splunk indexer

回答

相關問題