我有log4j属性文件,当我尝试将日志放在splunk上时,我看到三反斜杠
{\\\"v\\\":\\\"1.0\\\",\\\"category\\\":\\\"APP\\\",\\\"level\\\":\\\"INFO\\\",\\\"timeStamp\\\"
是splunk还是我可以在log4j属性中修改它,所以没有显示\\\?
谢谢
Splunk不会添加转义字符,例如\\\,所以我认为问题在于属性文件。在编辑器中将其打开,然后确认是否是这种情况。
也就是说,如果您无法从源代码中删除字符,则可以将这些字符提取到Splunk中。
在Splunk props.conf文件中,您可以包括以下内容。这将删除文件扩展名为.properties的文件中的所有\\\。
[source::.../*.properties]
SEDCMD-clean-log4j = s/\\\\\\//
您可以在https://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf#Field_extraction_configuration处查看props.conf的文档
[如果您正在查看Java日志记录,建议您在https://github.com/splunk/splunk-library-javalogging处查看Splunk支持的记录器之一(包括log4j)。