Создание файла журнала, совместимого с splunk в С#

Я пытаюсь создать файл журнала, который splunk будет читать и индексировать. Используя CommonInformationModel Splunk, я отформатировал свои журналы следующим образом: :

2011-30-07 12:30:37 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:31:35 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:32:02 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
etc...

Однако, когда я загружаю файл журнала в Splunk, он читает все это как один журнал и не разделяет их! Чтобы записать журнал на С#, я использую StreamWriter, и в конце я печатал \r\n, но я также пробовал Environment.NewLine (который, по-видимому, делает то же самое).

Ни один из них не работает и поэтому не индексируется отдельно! Кто-нибудь имеет опыт работы со Splunk и знает, почему это может быть?


visual-studio-2010 logging c# wcf splunk
person ingh.am    schedule 07.02.2011    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Я никогда не использовал splunk, поэтому я действительно не знаю, прав ли я.

Но если я взгляну на спецификации (ссылку, которую вы предоставили), они, похоже, используют двойные кавычки, а в вашем примере вы ввели одинарные кавычки. Так что, может быть, все, что вам нужно сделать, это заменить name='Name' на name="Name"?

Другой момент может заключаться в том, что вы должны указать некоторую информацию для тегов vendor или product, чтобы получить некоторое разделение?

Но это все предположения, потому что я действительно не знаю инструмента.

Обновлять

После небольшого изучения их сайта вы можете увидеть их сравнительный лист вы также можете получить базовую поддержку бесплатной версии. Так что, возможно, просто воспользуйтесь поддержкой, которая вам нравится, и получите ответ от создателей инструмента. Они обязательно должны знать, почему ваши сообщения не работают.

person Oliver    schedule 07.02.2011
comment
К сожалению, я проверил кавычки, я думаю, что в вопросе есть двойники ... Что касается поставщика и продукта, они не являются обязательными полями, поэтому я не понимаю, почему это повлияет на это. Попробую в качестве эксперимента, спасибо за помощь! - person ingh.am; 07.02.2011
comment
Ну, я все равно не использую бесплатную версию, но это то, что я должен был сделать сейчас! - person ingh.am; 07.02.2011
comment
может быть, вы можете дать ответ, если вы получили его от них. В противном случае просто удалите вопрос. - person Oliver; 07.02.2011
comment
Да, тоже планировал, пока не получил ответ. Возможно, мне придется обновить это через день или два! - person ingh.am; 07.02.2011
comment
@ing0: Вы приняли мой ответ, но мне не хватает вашего объяснения, потому что я не дал настоящего ответа. Так в чем же был корень вашей проблемы? - person Oliver; 11.02.2011
comment
Обновлено! Извините, сегодня был занят! :п - person ingh.am; 11.02.2011

arrow_upward
0
arrow_downward

Спасибо Оливеру за то, что помог мне на полпути. Я связался с одним из людей из службы поддержки разработчиков в Splunk, и хотя они не увидели ответа, я понял это сам.

В то время как Splunk очень хорошо обрабатывает даты с файлами журналов, если он не может распознать формат даты, он не будет анализировать его и, следовательно, поместить всю строку как событие! Проблема заключалась в том, что дата была в неправильном формате... т. е. Г-д-м, когда это должно было быть Г-д-д!

person ingh.am    schedule 11.02.2011

arrow_upward
0
arrow_downward

Просто используйте log4net и модуль syslog.

Направьте системный журнал на прослушиватель udp на splunk.

А потом вуаля! Работает отлично!

(У нас это работает отлично, но мы сбрасываем splunk, потому что это слишком дорого. Посмотрите, прежде чем прыгать!)

person Jonesome Reinstate Monica    schedule 23.02.2011