我设置了一些Web作业并将其部署到Azure,System.Diagnostics.Trace输出会自动上传到(blob db(/(service name(/(year(/(month(/(day(/(hour(/(instance-id(-(pid(.applicationLog.csv。
我有MS Splunk附加组件读取这些blob,如下所示: http://docs.splunk.com/Documentation/AddOns/released/MSCloudServices/Configureinputs5
导入工作正常,所以现在我正在寻找一种以几种方式更改默认行为的方法:
- Splunk 将数据源报告为完整的 blob 名称,例如"MyService/2017/07/15/1234-5678.applicationLog.csv">
期望:Splunk仅报告服务名称的数据源,例如"MyService"。这将使搜索源更容易
- Splunk
- 报告主机的数据,因为主机 Splunk 已安装 在
所需:Splunk 将主机报告为 (instance-id(,该主机位于导入文件的名称中,位于文件的每一行内。
- (这是最重要的一个! Splunk 将数据的时间报告为通过加载项导入 Splunk 的时间。
期望:Splunk 报告日志创建时给定的时间;此值位于.csv文件的有效负载中
这里有什么想法吗?
问题 1..为什么要更改源位置?Splunk最佳实践要求整个路径都在源中,更好的搜索方法是指定源类型。如果您真的一心想更改源,那么您可以使用host_segment.这可以在转发器上inputs.conf完成。
https://answers.splunk.com/topics/host_segment.html
问题2..您可以通过在转发器计算机上编辑inputs.conf来覆盖任何主机值。opt/splunkforwarder/etc/system/local优先于所有其他路径,应避免使用。一个更好的地方是/opt/splunkforwader/etc/apps/search/local.修改其中的inputs.conf并重新启动 splunkd 后,您应该会看到更改生效
问题3..这是什么数据?您是将网络流量直接流式传输到 Splunk 还是转发日志文件?如果是后者,这些日志文件是否具有与其关联的正确日期和时间?如果是这样,则需要修改索引器上的props.conf以标识时间戳。