Splunk中的每个
如何在splink中设置inputs.conf以仅解析多个目录中的JSON文件?我可以在props.conf中定义单个源类型(KV_MODE=json(,但不确定inputs.conf.中的代码
目前,我有一个带有多个节的文件,每个节都指定具有json文件的应用程序日志路径。每个节都有一个在props.conf中定义的sourcetype,指向json KV_mode。如果可能的话,我想尽量减少步骤并合并到一个小节中。
monitor节都监视一个文件路径,尽管该路径可以包含通配符。您可以执行类似[monitor:///.../*.json]的操作来监视任何具有json扩展名的文件,但这将消耗大量的资源。
最好为每个包含JSON数据的目录提供一个单独的节。也许您可以使用通配符将其压缩为几个条目。
然而,所有这些文件都可以使用相同的源类型,因此无需触摸props.conf来监视新的文件路径。