splunk之syslog
场景:针对第三方syslog发送json格式的数据到splunk,通过udp接入index,选择sourcetype系统不自动提取字段的场景。
配置inputs.conf
[udp://514]
index =
sourcetype = auditsys_metadata
no_appending_timestamp = true
配置props.conf
[auditsys]
DATETIME_CONFIG =
NO_BINARY_CHECK= true
category = Application
pulldown_type = 1
KV_MODE = json
SEDCMD-remove_syslog_head=s/^.*?]:s//
因篇幅问题不能全部显示,请点此查看更多更全内容