0

splunkが読み込んでインデックスを作成するログファイルを作成しようとしています。Splunkの共通情報モデルを使用して、ログを次のようにフォーマットしました。

2011-30-07 12:30:37 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:31:35 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:32:02 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
etc...

ただし、ログファイルをSplunkにロードすると、これはすべて1つのログとして読み取られ、分割されません。ログアウトをc#で書き込むために、私はStreamWriterを使用していて、最後に印刷\r\nしていましたが、私も試しましたEnvironment.NewLine(これは明らかに同じことをします)。

これらはどちらも機能していないようであるため、個別にインデックスを作成しないでください。Splunkの経験があり、なぜそうなるのか知っている人はいますか?

4

3 に答える 3

1

私はsplunkを使用したことがないので、自分が正しいかどうかは本当にわかりません。

しかし、仕様(あなたが提供したリンク)を見ると、それらは二重引用符を使用しているようであり、あなたの例では一重引用符を入力しました。だから多分あなたがしなければならないのname='Name'name="Name"

もう1つのポイントは、タグに関する情報を提供する必要があるか、vendorそれともproduct分割する必要があるかということです。

しかし、それはすべて推測です。なぜなら、私は本当にツールを知らないからです。

アップデート

彼らのサイトを少し掘り下げた後、彼らの比較シートであなたは無料版の基本的なサポートも得ることができます。したがって、必要なサポートアクセスを取得して、ツールの作成者から回答を得ることができます。彼らはあなたのメッセージが機能しない理由を確実に知っているはずです。

于 2011-02-07T13:05:20.180 に答える
0

途中で私を連れて行ってくれたオリバーに感謝します。私はSplunkの開発サポート担当者の1人に連絡しましたが、彼らは答えを見ていませんでしたが、私は自分でそれを理解しました。

Splunkはログファイルを使用して日付を処理するのに非常に優れていますが、日付形式を認識できない場合は解析されないため、文字列全体がイベントとして入力されます。問題は、日付が間違った形式であったことでした...つまり、YmdであるはずのYdm!

于 2011-02-11T14:03:15.627 に答える
0

log4netを使用し、syslogモジュールを使用するだけです。

splunkのudpリスナーにsyslogをポイントします。

そして、プレスト!よく働く!

(完全に機能していますが、高すぎるため、Splunkをダンプしています。飛躍する前に確認してください!)

于 2011-02-23T22:08:32.240 に答える