Я использую Splunk для индексации журналов с несколькими полями с одинаковыми именами. Все поля имеют одинаковое значение: 2012-02-22 13: 10: 00, ip = 127.0.0.1, to = email1 @ example.com, to = email2 @ example.com
При автоматическом извлечении для этого события я получаю только «[email protected]», извлеченный для поля «Кому». Как я могу убедиться, что все значения извлечены?
Спасибо!
Я думаю, добавив это в конец поиска, это может сработать:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
(«таблица» предназначена только для демонстрации).
Итак, я думаю, что в «transforms.conf» (из http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconf) поместите:
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
и ссылайтесь на него в 'props.conf':
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
где 'eventtype :: my_custom_eventtype' может быть любым, что работает как спецификация 'props.conf' (‹spec› в http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf).
