Wie Sub-JSON-Objekt zu Splunk-Indexer weitergeleitet wird

Question

Meine Anwendung schreibt Protokolldaten in die Datei. Die Protokolldaten sind einzeilige json wie unten. Ich verwende den Splunker-Forwarder, um das Protokoll an den Splunk-Indexer zu senden.

{"line": {"level": "info", "nachricht": "data is correct", "timestamp": "2017-08- 01T11: 35: 30.375Z "}," source ":" Std "}

Ich möchte nur das Sub-JSON-Objekt {"level": "info","message": "data is correct","timestamp": "2017-08-01T11:35:30.375Z"} an Splunk Indexer senden, nicht die gesamte JSON. Wie konfiguriere ich den Splunk-Forwarder oder den Splunk-Indexer?

Answer 1

Sie können sedcmd verwenden, um Daten zu löschen, bevor sie von den Indexern auf die Festplatte geschrieben werden.

Fügen Sie diese auf Ihre props.conf

[Yoursourcetype] 
 

 
#...Other configurations... 
 

 
SEDCMD-removejson = s/(.+)\:\{/g

Dies ist ein Index Zeiteinstellung, so dass Sie splunkd neu starten müssen für Änderungen

beeinflussen, um