Назад | Перейти на главную страницу

JSON и ключ-значение для Splunk

Развертывание splunk Я обсуждаю переход на JSON. Splunk теперь поддерживает spath и даже одобряет JSON для удобства пользователя (ref: http://dev.splunk.com/view/logging-best-practices/SP-CAAADP6 )

По иронии судьбы Splunk также не рекомендует использовать JSON (ссылка: http://docs.splunk.com/Documentation/Storm/Storm/User/Bestpractices ). Конечно, шторм - это облако, и его нет, но, черт возьми?

Кто-нибудь использовал JSON в splunk? Может ли кто-нибудь поговорить о реальных различиях в производительности при поиске по индексам и о возможности легко создавать поисковые запросы, используя spath?

Splunk изначально поддерживает JSON - если ваш JSON не искажен, Splunk прекрасно с этим справится

Нет заметной разницы в индексировании JSON и обычных текстовых данных с помощью Splunk

Некоторые документы и ссылки для вашего назидания:

Нет ничего, что говорит вам должен использовать spath для данных JSON, кстати: я часто использую многозначный операции (лайк mvexpand (когда не в eval)) так как они проще и понятнее

По моему опыту, Splunk + JSON работает нормально в более поздних версиях Splunk. Возможность выгружать все, что вы хотите, в формате JSON и не беспокоиться о побеге и т. Д., Делает все это еще проще. AFAIK Storm был предшественником Splunk, и с тех пор Splunk эволюционировал.

Если вы используете Java и Logback, вы можете использовать такую ​​библиотеку, как logstash-logback-кодировщик. В LoggingEventCompositeJsonEncoder Encoder позволяет вам настроить то, что написано, чтобы он работал с чем угодно, а не только с Logstash.