splunk - 異なるタイムスタンプ形式のsplunkstormを使用して複数行のJavaEEログを解析する方法

Question

次のようなログがあります。

2012年6月19日7:15:59AMorg.apache.catalina.core.StandardEngine start

情報：サーブレットエンジンの起動：Apache Tomcat / 6.0.29

タイムスタンプがISO8601に準拠していません。上記の形式に基づいて分離を実現する方法はありますか？現在、複数のラインをランダムにクラブしています。

Answer 1

splunk に新しいソースタイプを作成します。

[javaee_logs]
BREAK_ONLY_BEFORE=^\w\w\w\s\d{2},\s\d{4}\s\d+:\d{2}:\d{2}
NO_BINARY_CHECK=1
SHOULD_LINEMERGE=true
TIME_FORMAT=%b %d, %Y %H:%M:%S %p
TIME_PREFIX=^