Java Rest api sdkを使用して、Splunkの検索アプリからイベントを取得しています。検索時にsplunk_serverというフィールドを取得し、その値を設定しました。次に、ログメッセージをキーと値のペアのパターンでフォーマットしようとしました。例えば。splunk_server=remoteserver。splunkに追加された新しいイベントに表示するように設定したsplunk_serverの値が必要でした。しかし、代わりにデフォルト値が表示されました。
splunk_serverの値を設定し、新しいイベントを追加するたびにSplunkサーバーで設定した値を表示する方法はありますか?
これには2つのピボットがあります。まず、検索時にイベントを充実させることができます。これは、多くのルックアップ シナリオで行われます。たとえば、検索時に、Splunk に保持されている別のフィールドの値に基づいて、フィールド splunk_server を追加できます。ただし、その新しいフィールドは Splunk では保持されません。検索結果にパイプされるだけです。
次に、データを splunk に追加し、追加のフィールドを作成してその値を設定する機能があります。splunk_server は Splunk の特別なフィールドではなく、取り込み時に確実に行うことができます。
私たちの開発者サイトには、Java SDK に関する詳細情報があります: http://dev.splunk.com/view/java-sdk/SP-CAAAECN
質問の詳細は参考になります。