我们正在用 Java 编写日志语句,并检查信息和异常警报。 然后,团队按类别对日志语句进行 Splunk 搜索计数。
我们的许多日志语句可以共享多个类别。使用此 url 参考作为键值对,https://dev.splunk.com/enterprise/docs/developapps/addsupport/logging/loggingbestpractices/
这是示例日志语句代码。
LOG.info("CategoryA=true , CategoryG=true");
当然,我们不会在任何记录器中写入“Category=false”,因为它是语句中固有的。
这是按类别在 Splunk 中计算值的整体良好方法,还是有最佳的、更基于性能的实践?
在决定如何将数据放入 Splunk 之前,先决定如何将数据取出。例如,如果您预计搜索已关闭的类别,您就会遇到困难。 Splunk 无法搜索不存在的内容,但可以搜索“CategoryB=false”。