Log4j Splunk不正确地重写xml输入_Log4j_Splunk

Log4j Splunk不正确地重写xml输入

log4j

Log4j Splunk不正确地重写xml输入,log4j,splunk,Log4j,Splunk,我有许多应用程序要登录到Splunk。我将通过UDP侦听器以XML格式发送数据。正在发送的数据如下所示： <log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15"> <log4j:message>New session started</log4j:message> <log4j:properties> <l

我有许多应用程序要登录到Splunk。我将通过UDP侦听器以XML格式发送数据。正在发送的数据如下所示：

<log4j:event logger="ASP.global_asax" level="INFO" timestamp="1303830487907" thread="15">
  <log4j:message>New session started</log4j:message>
  <log4j:properties>
    <log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)" />
    <log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON" />
  </log4j:properties>
</log4j:event>

但是，当Splunk对其进行处理时，它显示为：

Apr 26 16:18:09 127.0.0.1 <log4j:message>New session started</log4j:message><log4j:properties><log4j:data name="log4japp" value="4ef113dd-9-129483040292873753(4644)"/><log4j:data name="log4jmachinename" value="W7-SUN-JSTANTON"/></log4j:properties></log4j:event>

基本上，Splunk看起来好像覆盖了打开的节点，结果丢失了日志级别的数据，以及它接收数据的日期时间。发送它的应用程序正在使用带有Log4JXmlEventLayout布局的log4j类型目标的nLog。我已经将sourcetype配置为log4jxml自定义名称，但我想我需要告诉它不要对props.conf文件中的date/time字段进行操作，但我不太确定这是什么

我还使用windows版本的Splunk，因此文件路径与在线手册略有不同

任何帮助都是非常受欢迎的。

事实证明我做错了两件事，也许更多，但我还没有找到这些在inputs.conf文件中，我需要将以下内容添加到我的输入定义中：

no_priority_stripping = true
no_appending_timestamp = true

我做错的第二件事是把这些文件放进去

C:\Program Files\Splunk\etc\system\local\

什么时候应该放进去

C:\Program Files\Splunk\etc\apps\search\local\

我希望这能帮助其他人