세미 콜론 파일이 있습니다. 구분 된 텍스트 파일. 그것은 splunk에서 색인이 붙여졌습니다.텍스트 파일에서 한 줄 검색
INSERT INTO `account` VALUES ('abc');
INSERT INTO `account` VALUES ('xyz');
INSERT INTO `account` VALUES ('pqr');
INSERT INTO `account` VALUES ('mnp');
"pqr"을 검색하면 단 한 줄만 표시됩니다. 현재 다음 줄 "mnp"도 보여줍니다. 파일에는 타임 스탬프가 없으며 splunk는 여전히 날짜 - 시간별로 줄을 그룹화합니다. 예를 들어 위에 언급 된 모든 줄은 06/09/2011 19시 01 분 : 17.000
세미콜론으로 구분 된 파일에서 검색하는 동안 어떻게 하나의 라인을 반환합니까?
타임 스탬프가 없으므로 Splunk가 단일 이벤트 (4 줄 포함) 또는 4 개의 개별 이벤트인지 확인하는 데 어려움이있을 수 있습니다. 모든 데이터는 Splunk에서 타임 스탬프 처리됩니다. 들어오는 데이터에 타임 스탬프가 없으면 Splunk는 도착 시간을 타임 스탬프로 지정하며 "동시에"도착하는 데이터는 단일 이벤트로 해석 될 수 있습니다.
은 $ SPLUNK_HOME에 다음을 넣어 "한 줄에 하나 개의 이벤트"들어오는 데이터로 처리되어야 인 Splunk에게/etc/system에/지역/props.conf[yoursourcetype]
SHOULD_LINEMERGE=false
DATETIME_CONFIG = CURRENT
당신의 이벤트가 될 수 있다면 여러 라인과 semicolor은() 이벤트를 분리 당신은 선택의 여지가있는 경우 대신
[yoursourcetype]
MUST_BREAK_AFTER = ;
DATETIME_CONFIG = CURRENT
를 다음 사용하여 첫 번째 옵션은 훨씬 더 효율적입니다. 두 경우 모두, DATEIME_CONFIG를 포함시켜 Splunk에게 임베디드 타임 스탬프가 없다는 것을 알려줍니다. 이렇게하면 입력 처리가 빨라집니다.
마지막으로 "yoursourcetype"을 스탠자에서 데이터의 소스 유형으로 대체하십시오.