Splunk împărțirea evenimentelor de jurnal pe mai multe linii după dată

Chris Williams

01.01.2023, 19:32

Am o configurație Splunk în mare parte implicită, care împarte corect majoritatea mesajelor mele de jurnal dintr-o aplicație Java standard. Nu depășim niciuna dintre valorile implicite referitoare la întreruperile de rând, îmbinarea liniilor sau formatele de dată. În unele situații, Splunk pare să detecteze că există o dată pe un eveniment de jurnal cu mai multe linii și împarte incorect evenimentul pe acea linie. Aș dori să știu cum să previn acest lucru.

Un exemplu este inclus mai jos cu 4 evenimente de jurnal - fiecare începând cu o ștampilă dată, timp și severitate. Rețineți că primul și al 4-lea eveniment sunt evenimente de jurnal cu o singură linie, iar al doilea și al treilea sunt evenimente de jurnal mai detaliate, care includ mai multe detalii.

În cazul celui de-al doilea eveniment, Splunk împarte corect acest eveniment în întregime. Pentru cel de-al treilea eveniment, însă, data pe care o scriem lângă „a avut loc” este oprită cu o milisecundă sau două față de marcajul de timp de la începutul evenimentului. Când se întâmplă acest lucru, Splunk împarte aceste evenimente în mai multe evenimente.

Este de remarcat faptul că separatorul de linii pentru evenimentele cu mai multe linii este probabil \n. Nu sunt 100% sigur care este separatorul de linii la sfârșitul fiecăruia dintre evenimente, dar este, de asemenea, probabil \n.

Există vreo modalitate de a împiedica Splunk să detecteze un marcaj de dată/ora în mijlocul unei linii și să împartă evenimentul pe baza acelui simbol?

2021-08-27 20:57:34,860 EROARE [<redact>][<redacted>] <redacted>
2021-08-27 20:56:24,118 EROARE [<redacted>][<redacted>] MESSAGE="
<redactat - mai multe informații>
<redactat - mai multe informații>
-- AU AVENIT LA: 27.08.2021 20:56:24:11
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
2021-08-27 20:56:11,221 EROARE [<redacted>][<redacted>] MESSAGE="
<redactat - mai multe informații>
<redactat - mai multe informații>
-- AU AVENIT LA: 27.08.2021 20:56:11:220
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
<redactat - mai multe informații>
2021-08-27 20:57:09,960 EROARE [<redacted>][<redacted>] <redacted>

147

1 + 0

fisiere jurnal

smerit

Puncte:2

Server

RichG

01.01.2023, 22:00

Spune-i lui Splunk să întrerupă evenimentele înainte de o dată care apare la începutul unui rând. Și ar ajuta să-i spuneți lui Splunk formatul așteptat al marcajelor de timp:

LINE_BREAKER = ([\r\n]+)\d\d\d\d-\d\d-\d\d
TIME_PREFIX = ^
TIME_FORMAT = %Y-%m-%d %H:%M:S,%3N

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Splunk splitting multi-line log events by date

TH: Splunk แบ่งเหตุการณ์บันทึกหลายบรรทัดตามวันที่

RO: Splunk împărțirea evenimentelor de jurnal pe mai multe linii după dată

RU: Splunk, разделяющий многострочные события журнала по дате

VI: Splunk tách các sự kiện nhật ký nhiều dòng theo ngày

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.