我有一个python服务,它与splunk集成在一起用于检查日志。我在splunk中得到了像这样的分割行错误消息。我想在同一行中得到错误。我如何使用日志记录来实现这一点?
tp5buhyn1#
默认情况下,Splunk的每一行输入都被认为是一个单独的事件。要改变这一点,请编辑源类型的props.conf文件,并更改LINE_BREAKER设置。将该值设置为一个正则表达式,该表达式包含一个捕获组,其中一个事件结束,下一个事件开始。我建议使用这样的正则表达式,但在没有看到更多示例数据的情况下无法这样做。如果LINE_BREAKER不能解决问题,您可以使用其他props.conf设置,例如BREAK_ONLY_BEFORE、BREAK_ONLY_BEFORE_DATE或MUST_BREAK_AFTER。
LINE_BREAKER
BREAK_ONLY_BEFORE
BREAK_ONLY_BEFORE_DATE
MUST_BREAK_AFTER
1条答案
按热度按时间tp5buhyn1#
默认情况下,Splunk的每一行输入都被认为是一个单独的事件。要改变这一点,请编辑源类型的props.conf文件,并更改
LINE_BREAKER设置。将该值设置为一个正则表达式,该表达式包含一个捕获组,其中一个事件结束,下一个事件开始。我建议使用这样的正则表达式,但在没有看到更多示例数据的情况下无法这样做。如果
LINE_BREAKER不能解决问题,您可以使用其他props.conf设置,例如BREAK_ONLY_BEFORE、BREAK_ONLY_BEFORE_DATE或MUST_BREAK_AFTER。