Splunk: форматирование CSV-файла во время индексации, значения рассматриваются как новые столбцы?

Question

Splunk: форматирование CSV-файла во время индексации, значения рассматриваются как новые столбцы?

Я пытаюсь создать новое поле во время индексации, однако, когда я пытаюсь выполнить конкататацию, поля становятся столбцами, а не значениями. Что я делаю неправильно? Я посмотрел в документах и, кажется, в соответствии..

Был бы признателен за помощь в этом.

например

CSV-файл

**Header1**, **Header2**
  Value1   ,121244

transform.config

[test_transformstanza]
SOURCE_KEY = fields:Header1,Header2
REGEX =^(\w+\s+)(\d+)
FORMAT = 
testresult::$1.$2  
WRITE_META = true

fields.config

[testresult]
INDEXED = True

Регулярное выражение хорошо, создает две группы из данных, но почему оно создает новое поле, а не присваивает значение result?. Если бы я должен был сделать... testresult::$1 или же testresult::$2 он работает нормально, но при объединении создает несколько заголовков со значением headername. Есть ли более простой способ объединения полей, например, если у вас есть CSV-файл с именами заголовков, можете ли вы просто не ссылаться на имена заголовков? (я знаю, как сделать это, используя вычисляемые поля, но хочу сделать это во время индексации)

Спасибо

0

splunk splunk-query splunk-formula splunk-calculation splunk-sdk

Источник

user10686648 23 дек '18 в 15:12

0 ответов

Другие вопросы по тегам splunk splunk-query splunk-formula splunk-calculation splunk-sdk