SPLUNK的字段损坏问题是什么原因？

问题描述投票：0回答：1

我在下面这个搜索上有一个问题，在过去的25天里。

index=syslog Reason="Interface physical link is down" OR Reason="Interface physical link is up" NOT mainIfname="Vlanif*" "NW_RA_A98C_01.34_KRTTI"

通常field7的值是这样的。

Region field7 Date mainIfname Reason countASYA nw_ra_m02f_01.34pndkdv may 9 GigabitEthernet036 Interface physical link is up 3ASYA nw_ra_m02f_01.34pldtwr may 9 GigabitEthernet0324 Interface physical link is up 2.

但最近他们就像这样。

00:00:00.599 NW_RA_A98C_01.34_KRTTI00:00:03.078 NW_RA_A98C_01.34_KRTTI。

我想问题可能与。

在磁盘空闲警报后开始发生的。(-Cri- Swap reservation, bottleneck situation, current value: 95.00% exceeds configured threshold: 90.00%。 : 07:17 170220)特别是这不是磁盘的问题，是交换空间的问题，应用程序用完内存后，就会进入交换使用。之前有内存增加，但明显不够用，又要切换到swap.我需要了解：''为什么他们用了这么多资源？"。

有问题的一个。

正常的

report

field

splunk

execute

1个回答

1
投票

你需要提供事件的例子，一个是正常情况下的，一个是有问题的情况下的。

看来你的环境中有人开发了一个字段提取的field7，它对事件的解析是错误的。

或者，可能是发送syslog数据的设备出现了问题，并报告了一个错误。根据设备的不同，你可能最好使用splunkbase.splunk.com的TA从事件中提取相关信息。

SPLUNK的字段损坏问题是什么原因？

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1