私は、標準の Java アプリケーションからのログ メッセージのほとんどを適切に分割する、ほぼデフォルトの Splunk 構成を持っています。改行、行の結合、日付形式に関するデフォルトはいずれも上書きしません。状況によっては、Splunk が複数行のログ イベントに日付があることを検出し、その行でイベントを誤って分割しているようです。これを防ぐ方法を知りたいです。
以下に、4 つのログ イベントの例を示します。各ログ イベントは、日付タイム スタンプと重大度で始まります。最初のイベントと 4 番目のイベントは 1 行のログ イベントであり、2 番目と 3 番目のイベントはより詳細な複数行のログ イベントであり、より詳細な情報が含まれていることに注意してください。
2 番目のイベントの場合、Splunk はこのイベント全体を正しく分割します。ただし、3 番目のイベントの場合、「発生日」の横に記入した日付は、イベント開始時のタイムスタンプから 1 ミリ秒または 2 ミリ秒ずれています。このような場合、Splunk はこれらのイベントを複数のイベントに分割します。
複数行イベントの行区切り文字はおそらく であることに注意してください\n。各イベントの末尾の行区切り文字が何であるかは 100% 確信はありませんが、 である可能性もあります\n。
Splunk が行の途中で日付/タイムスタンプを検出し、そのトークンに基づいてイベントを分割するのを防ぐ方法はありますか?
2021-08-27 20:57:34,860 ERROR [<redacted>][<redacted>] <redacted>
2021-08-27 20:56:24,118 ERROR [<redacted>][<redacted>] MESSAGE="
<redacted - more info>
<redacted - more info>
-- OCCURRED ON: 08/27/2021 20:56:24:11
<redacted - more info>
<redacted - more info>
<redacted - more info>
<redacted - more info>
<redacted - more info>
2021-08-27 20:56:11,221 ERROR [<redacted>][<redacted>] MESSAGE="
<redacted - more info>
<redacted - more info>
-- OCCURRED ON: 08/27/2021 20:56:11:220
<redacted - more info>
<redacted - more info>
<redacted - more info>
<redacted - more info>
<redacted - more info>
2021-08-27 20:57:09,960 ERROR [<redacted>][<redacted>] <redacted>
答え1
行の先頭にある日付の前にイベントを分割するように Splunk に指示します。また、タイムスタンプの予想される形式を Splunk に伝えると役立ちます。
LINE_BREAKER = ([\r\n]+)\d\d\d\d-\d\d-\d\d
TIME_PREFIX = ^
TIME_FORMAT = %Y-%m-%d %H:%M:S,%3N