セミコロンのファイルがあります; 区切りテキスト ファイル。splunk でインデックス化されています。
INSERT INTO `account` VALUES ('abc');
INSERT INTO `account` VALUES ('xyz');
INSERT INTO `account` VALUES ('pqr');
INSERT INTO `account` VALUES ('mnp');
「pqr」を検索すると、1 行しか表示されないはずです。現在、次の行「mnp」も表示されています。ファイルにはタイムスタンプがなく、splunk はまだ日時で行をグループ化しています。たとえば、上記のすべての行は、06/09/2011 19:01:17.000 の下にグループとしてリストされています。
セミコロンで区切られたファイルから検索するときに 1 行だけを返すにはどうすればよいですか?
タイムスタンプがないため、Splunk はこれが単一のイベント (4 行) なのか 4 つの個別のイベントなのかを判断するのが難しい場合があります。Splunk では、すべてのデータにタイムスタンプが付けられます。受信データにタイムスタンプがない場合、Splunk は到着時刻をタイムスタンプとして割り当てます。「同時に」到着したデータは、単一のイベントとして解釈される場合があります。
着信データを「1 行に 1 つのイベント」として処理するよう Splunk に指示するには、$SPLUNK_HOME/etc/system/local/props.conf に次のように記述します。
[yoursourcetype]
SHOULD_LINEMERGE=false
DATETIME_CONFIG = CURRENT
イベントが複数行になる可能性があり、セミカラー (;) でイベントが区切られている場合は、代わりに次を使用してください。
[yoursourcetype]
MUST_BREAK_AFTER = ;
DATETIME_CONFIG = CURRENT
選択肢がある場合、最初のオプションの方がはるかに効率的です。どちらの場合も、タイムスタンプが埋め込まれていないことを Splunk に伝えるために DATEIME_CONFIG を含めました。これにより、入力処理が高速化されます。
最後に、「yoursourcetype」をスタンザ内のデータのソースタイプに置き換えます。