Как я могу остановить Splunk, считая имя хоста более важным, чем ключ хоста?
Предположим, у меня есть следующие журналы:
цвет = красный; хост = localhost
цвет = синий; host = newhost
Следующий запрос работает нормально:
index=myindex | stats count by color
но не следующее:
index=myindex | stats count by host
потому что вместо того, чтобы рассматривать хост как ключ от журнала, он видит заголовок хоста как хост.
Как я могу с этим справиться?
Когда есть два поля с одинаковым названием, одно из них должно выиграть. В данном случае это то, что Splunk определяет перед обработкой самого события. Как вы, наверное, знаете, каждому событию во время ввода предоставляется 4 поля: index, host, source и sourcetype. Данные из события не будут переопределять их, если это специально не указано в файлах конфигурации.
Чтобы переопределить настройки, поместите это в свой файл transforms.conf.
[sethost]
REGEX = host\s*=\s*(\w+)
DEST_KEY = MetaData:Host
FORMAT = host::$1
Вам также необходимо указать преобразование в файле props.conf.
[mysourcetype]
TRANSFORMS-host = sethost
