2. 질의 응답
  3. Splunk에서 JSON 필드를 추출 할 수 없습니다.

Splunk에서 JSON 필드를 추출 할 수 없습니다.

2017-11-27 3 views
0

syslog 입력에서 JSON 필드를 추출하려고합니다.Splunk에서 JSON 필드를 추출 할 수 없습니다.

나는 다음과 같은 라인을 추가했습니다 ./etc/system/default/props.conf에서

:

[mylogtype] 
SEDCMD-StripHeader = s/^[^{]+// 
INDEXED_EXTRACTIONS = json 
KV_MODE = none 
pulldown_type = true

SEDCMD 작품; syslogs 헤더가 제거됩니다.

enter image description here

그러나 JSON 필드는 구문 분석되지 않습니다.

아이디어가 있으십니까?

출처

2017-11-27 daisy

답변

0

해결되었습니다. props.conf에서 다음 구성을 사용하십시오.

[yourlogtype] 
SEDCMD-StripHeader = s/^[^{]+// 
KV_MODE = json 
pulldown_type = true

출처

2017-11-28 00:16:36 daisy

 관련 문제

  • 관련 문제 없음^_^