Имам редица приложения, които искам да вляза в Splunk. Ще изпращам данните в XML формат чрез UDP слушател. Данните, които се изпращат, изглеждат така:
<log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15">
<log4j:message>New session started</log4j:message>
<log4j:properties>
<log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)" />
<log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON" />
</log4j:properties>
</log4j:event>
Въпреки това, когато се обработва от Splunk, изглежда така:
Apr 26 16:18:09 127.0.0.1 <log4j:message>New session started</log4j:message><log4j:properties><log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)"/><log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON"/></log4j:properties></log4j:event>
По принцип изглежда, че Splunk изглежда, че е презаписал отварящия възел и в резултат на това губи данните за ниво на регистрационния файл, с датата и часа, когато ги е получил. Приложенията, които го изпращат, използват nLog с цел тип log4j (с оформление на Log4JXmlEventLayout). Конфигурирах източника като log4jxml (персонализирано име), но мисля, че трябва да му кажа да не прави нещо с полето за дата/час във файла props.conf (но не съм много сигурен какво е това нещо).
Също така използвам Windows версията на Splunk, така че пътищата на файловете са малко по-различни от онлайн ръководствата.
Всяка помощ ще е добре дошла.