Splunk HEC: начать отправку событий в формате JSON с уже существующими необработанными событиями

Question

Splunk HEC: начать отправку событий в формате JSON с уже существующими необработанными событиями

Мы используем Splunk Enterprise v 6.6.3. Все наши проиндексированные события являются необработанными событиями (журналами), и мы планируем использовать Splunk HEC и отправлять события в формате JSON.

Мой вопрос: влияет ли отправка новых событий в формате JSON на все, что мы имеем сегодня в Splunk?

0

json splunk raw-data

Источник

user7693001 14 фев '19 в 13:24

1 ответ

Решение

Другие вопросы по тегам json splunk raw-data

user2227420 14 фев '19 в 18:27 2019-02-14 18:27 · Accepted Answer · 2019-02-14 18:27

Как только события проиндексированы в Splunk, они не могут измениться. Ничто из того, что вы делаете с новыми событиями, не повлияет на то, что уже есть в Splunk.

1

Источник

user2227420 14 фев '19 в 18:27