Splunk btool 解决实际字段不匹配的case

文章列表

1: 背景：

发现splunk 上面显示的log 内容和fileds 字段不匹配。举个例子：

src: abc,

正确的应该是： src: 11.22.33.44

说明上面raw 根据props.conf, 切割已经错位了，或者没有按照正确的字段来解析。

2：查找原因：

根据输出的log, 它肯定有sourcetype 跟它匹配，所以有props.conf 来匹配：

example: 假如上面的sourcetype 是：fuck_you

splunk btool props list fuck_you --debug

如果输出内容太多的话，可以把系统的过滤：

splunk btool props list fuck_you --debug | grep -v /system/default

这样就可以list 出fuck_you 这个sourcetype 的所有配置。

发现有一项是：FIELDALIAS-src = src_ip as src

说明是系统中是src_ip 来代替src 的。

3: 深入研究：

关于上面的字段分割，要引入另外一个配置： transforms.conf

Splunk btool 解决实际 字段不匹配的case