我有一个充满日志的数据库表,我想通过执行查询来获取日志数组,然后迭代它并在每个日志上运行console.log(),将其上传到 Splunk 中。这几乎可以正常工作,但是 Splunk 为每个日志选取的时间戳基于我运行上传脚本的任何时间。
有什么方法可以转换我的日志对象,以便 Splunk 使用我提供的时间戳?例如,我的一个日志可能如下所示:
{
id: 2910432221,
log_timestamp: 2019-08-07T19:04:03.000Z,
userId: 2331,
actionId: 45
}
理想情况下,我将能够运行这样的东西,并使splunk_timestamp的值显示在 Splunk 仪表板的Time列中。
console.log({
id: 2910432221,
splunk_timestamp: 2019-08-07T19:04:03.000Z,
userId: 2331,
actionId: 45
})
这样的事情可能吗?
Splunk 将尝试通过选择它遇到的第一个匹配TIME_FORMAT字段来自动识别_time值。您可以在props.conf中覆盖此功能。
我相信您的问题出在json对象上:您传递给console.log的不是有效的 json 对象。字段名称和值应正确引用。
{
"id": 2910432221,
"splunk_timestamp": "2019-08-07T19:04:03.000Z",
"userId": 2331,
"actionId": 45
}