splunkではkey=val形式のイベントを検出すると自動的に抽出する。
しかしvalの値にスペースを含むと正しく抽出することができない。
例えば、ダブルクォテーションで括られていれば抽出可能だが、
無い場合抽出できない。
msg="hello world" =>hello worldを抽出
msg=hello world => helloだけ抽出。
正しく抽出するにはtransform.confのREGEXを使用して抽出する。
例えば以下のようなイベントが存在するとする。
この時以下のように設定する。
props.conf
[mysourctype]
REPORT-mykvformat=my_kv
transforms.conf
[my_kv]
REGEX=¥s(?<_KEY_1>¥w+)=(?<_VAL_1>¥w+)¥s¥w+=
splunkを再起動する。
0 件のコメント:
コメントを投稿