Развертывание splunk Я обсуждаю переход на JSON. Splunk теперь поддерживает spath и даже одобряет JSON для удобства пользователя (ref: http://dev.splunk.com/view/logging-best-practices/SP-CAAADP6 )
По иронии судьбы Splunk также не рекомендует использовать JSON (ссылка: http://docs.splunk.com/Documentation/Storm/Storm/User/Bestpractices ). Конечно, шторм - это облако, и его нет, но, черт возьми?
Кто-нибудь использовал JSON в splunk? Может ли кто-нибудь поговорить о реальных различиях в производительности при поиске по индексам и о возможности легко создавать поисковые запросы, используя spath?
Splunk изначально поддерживает JSON - если ваш JSON не искажен, Splunk прекрасно с этим справится
Нет заметной разницы в индексировании JSON и обычных текстовых данных с помощью Splunk
Некоторые документы и ссылки для вашего назидания:
Нет ничего, что говорит вам должен использовать spath
для данных JSON, кстати: я часто использую многозначный операции (лайк mvexpand (когда не в eval
)) так как они проще и понятнее
По моему опыту, Splunk + JSON работает нормально в более поздних версиях Splunk. Возможность выгружать все, что вы хотите, в формате JSON и не беспокоиться о побеге и т. Д., Делает все это еще проще. AFAIK Storm был предшественником Splunk, и с тех пор Splunk эволюционировал.
Если вы используете Java и Logback, вы можете использовать такую библиотеку, как logstash-logback-кодировщик. В LoggingEventCompositeJsonEncoder
Encoder позволяет вам настроить то, что написано, чтобы он работал с чем угодно, а не только с Logstash.