Splunkを使用して、同じ名前の複数のフィールドを持つログにインデックスを付けています。すべてのフィールドの意味は同じです:2012-02-22 13:10:00、ip = 127.0.0.1、to = email1 @ example.com、to = email2 @ example.com
このイベントの自動抽出では、「to」フィールドに対して「email1@example.com」のみが抽出されます。すべての値が抽出されていることを確認するにはどうすればよいですか?
ありがとう!
3429 次
1 に答える
2
これを検索の最後に追加すると、これでうまくいくと思います:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
(「テーブル」はデモンストレーション用です)。
したがって、「transforms.conf」( http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconfから) に次のように記述します。
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
「props.conf」でそれを参照します。
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
ここで、'eventtype::my_custom_eventtype' は、'props.conf' 仕様 ( http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconfの <spec> ) として機能するものであれば何でもかまいません。
于 2012-05-14T17:29:11.343 に答える