Search SPLUNK中损坏字段问题的原因是什么?
在过去25天中,我在以下搜索中遇到问题: index=syslog Reason=接口物理链路已关闭或Reason=接口物理链路未启动mainIfname=Vlanif*nw_ra_a98c_01.34_krtti 通常情况下,field7值如下所示: 区域字段7日期mainIfname原因计数 ASYA nw_ra_m02f_01.34pndkdv 5月9日千兆以太网0/3/6接口物理链路上升3 ASIA nw_ra_m02f_01.34pldtwr 5月9千兆以太网0/3/24接口物理链路增加2 但最近他们是这样的: 00:00:00.599西北拉乌阿98C 01.34克鲁蒂 00:00:03.078西北_ra_a98c_01.34_krtti 我认为问题可能与以下方面有关: 这是在磁盘空闲警报后开始发生的-Cri-交换保留,瓶颈情况,当前值:95.00%超过配置的阈值:90.00%:07:17 17/02/20 特别是这不是关于磁盘,而是关于交换空间,应用程序完成内存,然后进行交换使用。以前有过内存增加,但显然内存不足,现在再次切换到交换。 我需要理解:他们为什么使用这么多资源 问题之一:Search SPLUNK中损坏字段问题的原因是什么?,search,report,field,splunk,execute,Search,Report,Field,Splunk,Execute,在过去25天中,我在以下搜索中遇到问题: index=syslog Reason=接口物理链路已关闭或Reason=接口物理链路未启动mainIfname=Vlanif*nw_ra_a98c_01.34_krtti 通常情况下,field7值如下所示: 区域字段7日期mainIfname原因计数 ASYA nw_ra_m02f_01.34pndkdv 5月9日千兆以太网0/3/6接口物理链路上升3 ASIA nw_ra_m02f_01.34pldtwr 5月9千兆以太网0/3/24接口物理链路增
正常事件:您需要提供示例事件,一个来自正常情况,另一个来自问题情况 您的环境中似乎有人为field7开发了字段提取,该字段错误地解析了事件
或者,发送系统日志数据的设备可能出现问题,并报告错误。根据设备的不同,您最好使用splunkbase.splunk.com中的TA从事件中提取相关信息我已附上示例事件,一个来自正常情况,另一个来自问题情况。