splunk根据数据创建sourcetype
splunk所有字段提取都是基于sourcetype,所以在接入数据时分类创建好sourcetype会对后字段的提取起到事半功倍的作用。
transforms.conf 文件
[force_sourcetype]
SOURCE_KEY = MetaData:Source
DEST_KEY = MetaData:Sourcetype
REGEX = /opt/log/src/([^/]+)
FORMAT = sourcetype::proxy_$1
注意:原数据第一个字母大写如:MetaData:Source 或 MetaData:Host, 其不设置时默认值是_raw
[proxy]
TRANSFORMS-force_sourcetype= force_sourcetype
SHOULD_LINEMERGE = false
从指定字段提取值:
EXTRACT-<class> = [<regex>|<regex> in <src_field>]
eg: EXTRACT-log_type = /opt/log/src/(?<log_type>[^/]+) in source
transforms.conf 文件
[force_sourcetype]
SOURCE_KEY = MetaData:Source
DEST_KEY = MetaData:Sourcetype
REGEX = /opt/log/src/([^/]+)
FORMAT = sourcetype::proxy_$1
注意:原数据第一个字母大写如:MetaData:Source 或 MetaData:Host, 其不设置时默认值是_raw
[proxy]
TRANSFORMS-force_sourcetype= force_sourcetype
SHOULD_LINEMERGE = false
从指定字段提取值:
EXTRACT-<class> = [<regex>|<regex> in <src_field>]
eg: EXTRACT-log_type = /opt/log/src/(?<log_type>[^/]+) in source
