Използвам Splunk за индексиране на регистрационни файлове с множество полета с едно и също име. Всички полета имат едно и също значение: 2012-02-22 13:10:00,ip=127.0.0.1,[email protected],[email protected]
При автоматичното извличане за това събитие получавам само „[email protected]“ извлечено за полето „до“. Как мога да се уверя, че всички стойности са извлечени?
Благодаря!
Мисля, че добавянето на това в края на търсенето може да го направи:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
("масата" е само за демонстрация).
И така, мисля, че в „transforms.conf“ (от http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconf) постави:
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
и го препратете в 'props.conf':
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
където 'eventtype::my_custom_eventtype' може да бъде всичко, което работи като спецификация на 'props.conf' (‹spec› в http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf).
