“独白/独白”:“^2.0” 所有日志记录语句都记录为不同的条目。
{
"message": "http:\/\/docker.for.mac.localhost:1000",
"context":
{
"$a": "val_a",
"$b": val_b,
"$c": val_c,
"$d": val_d,
}
"level": 200,
"level_name": "INFO",
}
登录为:
log 1 : "message": "http:\/\/docker.for.mac.localhost:1000",
log 2 : "$a": "val_a",
log 3 : "$b": val_b,
log 4 : "$c": val_c,
log 5 : "$d": val_d,
默认情况下,Splunk 将每一行数据视为一个单独的事件。 但是,您可以使用 props.conf 文件中的设置来覆盖它。 最佳实践是为每个摄取的源类型设置 props.conf 设置。
这些道具应该会有帮助。 将它们安装在索引器和重型转发器(如果有)上。
[mysourcetype]
# Break events prior to "message", assuming this is always first
LINE_BREAKER = ([\r\n]+)\{"message
# No timestamp is seen in the events so assign the current time
DATETIME_CONFIG = current
SHOULD_LINEMERGE = false