JSON与Splunk的键值
推出splunk,我正在讨论切换到JSON。Splunk现在支持spath,甚至支持JSON实现用户友好性(ref:http://dev.splunk.com/view/logging-best-practices/SP-CAAADP6 )
具有讽刺意味的是,Splunk还建议反对JSON (ref:http://docs.splunk.com/Documentation/Storm/Storm/User/Bestpractices )。当然,风暴是云,不是托管,而是什么?
有人在splunk中使用JSON吗?有人能谈谈现实世界中索引搜索的性能差异以及利用spath轻松创建搜索查询的能力吗?
回答 2
Server Fault用户
发布于 2020-05-04 16:49:26
只要你的JSON不是畸形的,Splunk就会接受它
用Splunk索引JSON与直接文本数据没有明显的区别
一些docs.Splunk参考资料供您学习:
- https://docs.splunk.com/Documentation/Splunk/8.0.3/Knowledge/Automatickey-valuefieldextractionsatsearch-time
- https://docs.splunk.com/Documentation/Splunk/8.0.3/SearchReference/Spath
- https://docs.splunk.com/Documentation/Splunk/8.0.3/Data/IFXandHEC
没有任何东西说您必须使用spath来处理JSON数据,顺便说一句:我经常使用多值 运营 (比如扩容 (当不是在eval中),因为它们更简单、更容易理解。
Server Fault用户
发布于 2015-05-27 23:37:51
根据我的经验,Splunk + JSON的性能在以后的Splunk版本中是很好的。能够以JSON的形式抛出任何您想要的东西,而不必担心逃逸等等,这使得整个事情变得更加简单。AFAIK Storm是Splunk的前身,Splunk从那时起就开始进化了。
如果您使用的是Java & Logback,您可以使用像logstash-logback编码器这样的库。LoggingEventCompositeJsonEncoder编码器允许您自定义所写的内容,这样它就可以很好地处理任何东西,而不仅仅是Logstash。
https://serverfault.com/questions/661648
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号