如何解决如何在Splunk中配置EML数据格式
我有大量的email(.eml)数据集。 而且我不知道如何在splunk中解析和配置sourcetype。 拜托,有人让我知道。
谢谢。
解决方法
这是一个相当广泛的主题,因此我将尝试从高层次进行介绍。随时随地发布更多具体问题。
在采用新的源类型时,需要考虑很多因素:
- 在哪里获取事件时间戳?
- 源代码中的每一行都会是一个单独的事件吗?
- 什么将事件分开?
- 预计会发生多少事件?
这些问题的答案有助于确定props.conf中“魔术6”设置的值。这些设置是TIME_PREFIX
,TIME_FORMAT
,MAX_TIMESTAMP_LOOKAHEAD
,SHOULD_LINEMERGE
,LINE_BREAKER
和TRUNCATE
。在这种情况下,我还要添加DATETIME_CONFIG
。
由于.eml文件中的各行不包含时间戳,因此您可以跳过与时间戳相关的设置,并使用DATETIME_CONFIG = none
。其他设置取决于您回答问题2-4的方式。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。