У меня есть в основном конфигурация Splunk по умолчанию, которая правильно разделяет большинство моих сообщений журнала из стандартного приложения Java. Мы не отменяем какие-либо значения по умолчанию, касающиеся разрывов строк, слияния строк или форматов даты. В некоторых ситуациях Splunk, по-видимому, обнаруживает дату в многострочном событии журнала и неправильно разбивает событие в этой строке. Я хотел бы знать, как предотвратить это.
Ниже приведен пример с 4 событиями журнала, каждое из которых начинается с метки даты, времени и серьезности. Обратите внимание, что первое и четвертое события — это однострочные события журнала, а второе и третье — более подробные многострочные события журнала, включающие дополнительные сведения.
В случае второго события Splunk правильно разделяет это событие целиком. Однако для третьего события дата, которую мы пишем рядом с «произошло», отличается на миллисекунду или две от метки времени в начале события. Когда это происходит, Splunk разбивает эти события на несколько событий.
Стоит отметить, что разделитель строк для многострочных событий, скорее всего, \n. Я не уверен на 100%, что такое разделитель строк в конце каждого из событий, но это также вероятно \n.
Есть ли способ предотвратить обнаружение Splunk метки даты/времени в середине строки и разделение события на основе этого токена?
2021-08-27 20:57:34,860 ОШИБКА [<отредактировано>][<отредактировано>] <отредактировано>
2021-08-27 20:56:24,118 ОШИБКА [<отредактировано>][<отредактировано>] СООБЩЕНИЕ="
<отредактировано - больше информации>
<отредактировано - больше информации>
-- ПРОИЗОШЛО: 27.08.2021 20:56:24:11
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
2021-08-27 20:56:11,221 ОШИБКА [<отредактировано>][<отредактировано>] СООБЩЕНИЕ="
<отредактировано - больше информации>
<отредактировано - больше информации>
-- ПРОИЗОШЛО: 27.08.2021 20:56:11:220
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
<отредактировано - больше информации>
2021-08-27 20:57:09,960 ОШИБКА [<отредактировано>][<отредактировано>] <отредактировано>
