如何解决Splunk中的简单串联JSON换行器
我知道这可能很简单,但是由于某种原因,我能够在Splunk中使用线路断路器。我正在从AWS S3获取数据源,并且将JSON格式的多个事件串联在一起。例如
{"key":"value",{"composite":"result"}}{"something":"else"}
因此LINE_BREAKER应该在}{
上匹配,并包括左括号。
我有SHOULD_LINEMERGE=false
,然后有LINE_BREAKER=(\{.+\})\{
,但我松开了右括号。 }{
之间没有任何字符(甚至没有换行符),分割这些字符的最佳方法是什么?
解决方法
LINE_BREAKER
属性需要一个捕获组,但是会丢弃与该捕获组匹配的文本。解决方案是使用正则表达式更具创意。
LINE_BREAKER=\}()\{
允许空捕获组。
您的评论使事情变得混乱。是用}{
还是用{"key"
隔开事件? LINE_BREAKER
的值应设置为分隔事件的任何内容。确定后,即可解决TRUNCATE
设置。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。