Events 如何将自定义字段添加到Splunk中的事件？

我想将自定义字段添加到特定索引中，并相应地记录它们

目前只有几个默认字段，如“主机”、“索引”、“源类型”等

不确定这是否是添加其他数据的最佳位置

如何添加更多字段

我目前正在使用Splunk SDK提交事件

---

用如此小的事件测试Splunk，这对你自己是一种伤害。他们不会让你看到Splunk能做什么。您只获得默认字段，因为Splunk不知道如何处理单个单词。如果您使用类似“foo=bar”的东西，那么您将看到Splunk创建“foo”字段

每台计算机至少有一个日志文件可用于测试Splunk

---

可以使用转换将字段添加到事件中。这样做是一个高级主题，不能使用GUI来完成。我建议您在尝试运行之前学会使用更好的示例数据进行行走。

我还想提到我是通过Splunk SDK提交事件的

为了获得我想在事件中显示的字段，我必须提交事件数据作为事件名称

    var myindexes = service.indexes();
    // Submit an event to the index
    myindexes.fetch(function (err, myindexes) {
    let myindex = myindexes.item("audits-client");


    let evtData = {
        timestamp: Date.now(),
        userAgent: headers['user-agent'],
        protocol: "http",
        file: "null"
    }

    myindex.submitEvent(evtData, {

        sourcetype: "web"

    }, function (err, result, myindex) {
        console.log("Submitted event: ", result);
        return result
    });
});

---

你是说字段没有显示是因为没有足够的数据吗？一旦我添加了更多数据，事件中发送的其他字段将显示？一个单词不会构成字段，至少默认情况下不会。该sourcetype的props.conf设置告诉Splunk如何理解数据。“添加数据向导”可以对此提供帮助。