【研究】Splunk 字段是否被加工过

1: 背景:

最近用户有个疑问,就是有些字段的输出有点问题,不确定是否被加工过。

2: 查找问题:

  index=abc sourcetype=def123 

发现字段: city_shanghai 的输出可能有点问题。

3: 排查问题:

先去这个splunk search head cluster 的页面: server 的查找如下:

【研究】Splunk 字段是否被加工过_第1张图片

登入so1 server, 然后切换到splunk 用户:

使用如下的命令:

splunk btool props list def123  --debug

注意:起关键作用的是: sourcetype, 我看到如下输出:

/opt/splunk/etc/apps/abc/local/props.conf [def123]
/opt/splunk/etc/apps/abc/local/props.conf FIELDALIAS-city = "source-city" ASNEW city

并没有字段:city_shanghai

就可以证明:这个字段;city_shan

你可能感兴趣的:(splunk,Splunk,字段,fields,切割,props)