Я использую Splunk для индексирования журналов с несколькими полями с тем же именем. Все поля имеют одинаковый смысл: 2012-02-22 13: 10: 00, ip = 127.0.0.1, to = email1 @ example.com, to = email2 @ example.comSplunk: Извлечение нескольких полей с тем же именем
В автоматическом извлечении для этого событие, я получаю только «[email protected]», извлеченный для поля «Кому». Как я могу убедиться, что все значения извлечены?
Спасибо!
Я думаю, добавив в конце поиска это может сделать это:
| extract pairdelim="," kvdelim="=" mv_add=t | table to
(«стол» только для демонстрации).
Так что, я думаю, в 'transforms.conf' (от http://docs.splunk.com/Documentation/Splunk/latest/admin/transformsconf) поставил:
[my-to-extraction]
DELIMS = ",", "="
MV_ADD = true
и ссылаться на него в 'props.conf':
[eventtype::my_custom_eventtype]
REPORT-to = my-to-extraction
где «EventType :: my_custom_eventtype 'может быть любым, что работает как спецификация «props.conf» (<spec> в http://docs.splunk.com/Documentation/Splunk/latest/admin/propsconf).