单机版splunk创建索引和重写source,sourcetype,原日志保持不变

最新推荐文章于 2023-11-26 12:13:04 发布
最新推荐文章于 2023-11-26 12:13:04 发布
阅读量922 收藏 1
点赞数
分类专栏: splunk 文章标签: 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quguilai2006/article/details/84908421
版权
本文档详细介绍了如何配置Splunk的indexes.conf、input.conf、props.conf和transforms.conf文件,以创建名为'custom'的索引,并针对TCP端口60002上的输入设置自定义'sourcetype'为'custom-log'。通过正则表达式从日志中提取'app_id'和'log_type',并分别用于'MetaData:Source'和'MetaData:Sourcetype'字段。同时提供了一个Java发送日志数据到 Splunk 的示例。
摘要由CSDN通过智能技术生成

indexes.conf

[custom]

homePath   = $SPLUNK_DB\custom\db

coldPath   = $SPLUNK_DB\custom\colddb

thawedPath = $SPLUNK_DB\custom\thaweddb

tstatsHomePath = volume:_splunk_summaries\custom\datamodel_summary

maxMemMB = 20

maxConcurrentOptimizes = 6

maxHotIdleSecs = 86400

maxHotBuckets = 10

maxDataSize = auto_high_volume

 

input.conf

[tcp::60002]

sourcetype=custom-log

connection_host=dns

index=custom

 

props.conf

[custom-log]

TRANSFORMS-source = set-source

TRANSFORMS-sourcetype = set-sourcetype

 TRANSFORMS-sourcetype = set-rawdata

 

transforms.conf

[set-source]

REGEX = <tag>app_id:(.*),log_type:(.*)<tag>

FORMAT = source::$1

DEST_KEY = MetaData:Source

WRITE_META = true

 

 

[set-sourcetype]

REGEX = <tag>app_id:(.*),log_type:(.*)<tag>

FORMAT = sourcetype::$1##$2

DEST_KEY = MetaData:Sourcetype

WRITE_META = true

 

 

[set-rawdata]

REGEX = <tag>app_id:(.*),log_type:(.*)<tag>(.*)

FORMAT = $3

DEST_KEY = _raw

 

 

public class InputTest {

 

public static void main(String[] args) throws Throwable {

//send(60001, "2008-10-30 14:15:21 mightyhost awesomeftpd INFO Attempt to login by user: root: login FAILEDaaaaaaaaaaddddde.\r\n\r\n");

send(60002,"<tag>app_id:quguilai,log_type:cuostlog<tag> test log");

 

}

 

private static void send(int port, String message) throws UnknownHostException, IOException {

Socket socket = new Socket("localhost", port);

   // 向服务端程序发送数据

   OutputStream ops = socket.getOutputStream();    

   OutputStreamWriter opsw = new OutputStreamWriter(ops);

   BufferedWriter bw = new BufferedWriter(opsw);

     

   bw.write(message);

   bw.flush();

   

   ops.close();

   opsw.close();

   bw.close();

   socket.close();

}

}

 

 

 

quguilai2006
关注
专栏目录
splunk 创建 索引 Index
shenghuiping2001的专栏
09-17 1070
splunk索引太强大的,创建索引可以节省查询时间: 1: 登入 splunk 后,进去右上角的设置:点开就可以看到索引: 2:然后导入数据到这个索引中: 3: 创建索引后,可以看到index 是对应哪些文件了,另外,index 是可以对应多个文件的。 4:下面进行查询: 5:可以看到查询后,左边有很多字段,这些字段,可以单独用表格列出来: 参考文章:Splunk-管理索引 - 芒果文档 ...
Splunk索引器安装
最新发布
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
06-23 995
在Linux操作系统上搭建一个Splunk日志文件管理工具并运行它。
splunk 索引过程
djph26741的博客
12-29 415
术语: Event :Events are records of activity in log files, stored in Splunk indexes. 简单说,处理的日志或话单中中一行记录就是一个Event;Source type: 来源类型,identifies the format of the data,简单说,一种特定格式的日志,可以定义为一种source type...
MySQL 无损复制
chengjinshi9462的博客
07-11 271
Therpl_semi_sync_master_wait_pointsystem variable controls the point at which a semisynchronous replication master waits for slave acknowledgment...
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
Splunk智能运维实战》——1.2 索引文件和目录
weixin_33940102的博客
05-02 589
本节书摘来自华章计算机《Splunk智能运维实战》一书中的第1章,第1.2节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 1.2 索引文件和目录 从文件和目录输入数据是向Splun...
powershell_mssql_splunk:为 MSSQL Server 和 SQLAgent 日志创建 Splunk 配置文件的 powershellscript
06-09
为 MSSQL Server 和 SQLAgent 日志创建 Splunk 配置文件的 powershell 脚本。 适用于多个实例和集群。 如果可用,将 clustername 写入“host”参数。 示例 Splunk input.conf [monitor://D:\SQLData\MSSQL11....
Splunk-8.0.0-搜索手册中文版.pdf
09-09
Splunk 8.0.0 搜索手册中文版》是针对Splunk Enterprise 8.0.0版本的全面搜索指南,旨在帮助用户理解和掌握Splunk的搜索语法、搜索优化技巧,以及各种高级搜索功能。这份手册包含了丰富的知识点,下面对其进行详细...
splunk分布式日志收集和搜索
04-09
Splunk是一个广泛应用于企业环境的日志分析工具,它能够帮助用户收集、搜索和监控机器生成的大数据。Splunk通过其分布式架构允许用户集中处理海量日志数据,具备灵活的搜索功能和实时数据处理能力。 分布式日志收集...
splunk指定syslog来源的sourcetype
u012085379的专栏
12-17 5370
日常工作使用splunk来分析数据,由于会接收到来自不同网络设备的数据,大多由sysylog发送出来,默认端口为udp的514端口,这样就会造成数据类型sourcetype没法确定,在使用过程中只能依靠host(来源ip)来判断,如果一台设备发送不同类型的数据,就没办法区分。因此需要用splunk的配置文件来指定udp:514的sourcetype。 在$HOME/etc/apps/$APP/l
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk官方文档学习笔记【安装,添加数据,搜索功能,管道命令】这一篇带你了解splunk
m0_48325361的博客
08-23 3122
文章目录前言一、splunk介绍1.安装2.添加数据二、splunk搜索功能1.匹配搜索2.字段搜索3.管道命令(|)4.子搜索([]) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、splunk介绍 1.安装 2.添加数据 二、splunk搜索功能 1.匹配搜索 2.字段搜索 3.管道命令(|) 4.子搜索([]) ...
splunk篇3-spl
qq_27886773的博客
01-18 3195
splunk搜索栏中编辑spl搜索语句,即可检索出已经配置的数据源内容,右边时间栏是选择数据源的变动时间来检索 以上篇的http为例,当我的数据发送到splunk后,输出source="http:httptest" ,其中httptest是我建的http event collector的标记,忘记的可以翻上篇。左侧框中的是字段,字段就是昨天发送数据的body里面的json内容。字段可以...
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
【谈谈】Splunk 高效命令之 tstats
shenghuiping2001的专栏
11-26 1181
Splunk stats 对SPL 查询高效,缩短查询时间,节省查询资源 发挥很好的作用。赶快用起来吧。
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 8560
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
Splunk btool 解决实际 字段不匹配的case
shenghuiping2001的专栏
04-01 524
Splunk 中利用props.conf 和transform.conf 的配置,可以用btool 来列出来。 splunk btool props list --app=ABC --debug
splunk数据脱敏
BigDatayun的博客
06-22 594
一、匿名化数据方式 针对数据进入索引前匿名化数据Splunk Enterprise提供了二种方式: 使用正则表达式(regex)转换。此方法需要花费较长的时间配置,但是在初始配置后更易于修改,并且可以更轻松地分配给多个数据输入。 使用SEDCMDsed脚本之类的脚本进行替换。sed脚本方法更易于执行,花费的时间更少,并且比转换要快。但是,您可以调用多少次SEDCMD以及它可以执行的操...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3636
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值