Ich habe eine Splunk-Forwarder-Setup bereits auf meinem Host.Wie Logs mit Splunk Forwarder für die Dateien ohne Header und Protokolle weitergeleitet werden sollten in Form von Schlüssel/Wert
Ich habe bestimmte Dateien auf Ordner (/ tom/mike /). Dateinamen beginnen mit Zurück *.
Der Inhalt der Datei kann in einer oder mehreren Zeilen enthalten sein. Es gibt mehrere feste Positionswerte, die durch Leerzeichen in jeder Zeile ohne Kopfzeile getrennt sind.
Inhalt (Beispiel: Stellen Sie sich "-" als ein Raum)
Tom --- 516 ----- ------ RTYUI 45678
Mik --- 345 --- --XYXFF ------ 56789
Ich brauche Splunk Protokolle für jede Zeile.
wie:
Key1 = Tom Key2 = 516 Key3 = RTYUI Key4 = 45678
Key1 = Mike Key2 = 345 Key3 = XYXFF Key4 = 56789
Ich weiß inputs.conf Änderungen wäre Wie unten.
[Monitor: /// tom/mike/zurück *].
index = MyIndex
schwarze Liste = (gz | zip | bkz | Bogen | etc) $
Sourcetype = BackFileData
Bitte schlagen Sie Änderungen vor, die in der reps.conf vorgenommen werden können. Bitte beachten Sie, dass der Begrenzer für jeden Wert in der Zeile festgelegt ist, aber nicht identisch ist (wie 2 Leerzeichen) für alle Spaltenwerte. In diesen Dateien gibt es auch keine Header.
Wie macht man eine transforms.conf-Regel und wendet sie in der reps.conf an? – user2187367
Sie sollten sich auf Ihrem Indexer unter '/ opt/splunk/etc/apps//local' befinden –
skoelpin