0

Splunkにログインしたいアプリケーションがいくつかあります。UDPリスナーを介してXML形式でデータを送信します。送信されるデータは次のようになります。

<log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15">
  <log4j:message>New session started</log4j:message>
  <log4j:properties>
    <log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)" />
    <log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON" />
  </log4j:properties>
</log4j:event>

ただし、Splunkで処理すると、次のように表示されます。

Apr 26 16:18:09 127.0.0.1 <log4j:message>New session started</log4j:message><log4j:properties><log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)"/><log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON"/></log4j:properties></log4j:event>

基本的に、Splunkは開始ノードを上書きしたように見え、その結果、ログレベルのデータとそれを受信した日時が失われます。それを送信しているアプリケーションは、log4jタイプのターゲット(Log4JXmlEventLayoutレイアウト)でnLogを使用しています。ソースタイプをlog4jxml(カスタム名)として構成しましたが、props.confファイルの日付/時刻フィールドで何もしないように指示する必要があると思います(ただし、それが何であるかはよくわかりません)。

また、WindowsバージョンのSplunkを使用しているため、ファイルパスはオンラインマニュアルとは少し異なります。

どんな助けでも大歓迎です。

4

1 に答える 1

0

私は2つのことを間違っていたことが判明しました(おそらくもっと多くのことですが、まだ見つけていません)inputs.confファイルで、入力定義に次を追加する必要があります。

no_priority_stripping = true
no_appending_timestamp = true

私が間違っていた2番目のことは、これらのファイルを

C:\Program Files\Splunk\etc\system\local\

それらがいつ挿入されるべきか

C:\Program Files\Splunk\etc\apps\search\local\

これが他の誰かを助けることを願っています

于 2011-04-26T18:08:13.673 に答える