无法在splunk中搜索时提供匿名数据

Question

我有一个日志文件(/var/ log /test2.log)：

[2022-03-25 14:30:08] LoggerTest.INFO: JSON Request to MySystem {"shopperEmail":"my.email@gmail.com"}

我有$SPLUNK_HOME/etc/system/local/props.conf

[source::/var/log/test2.log] 
TRANSFORMS-anonymize = shopperEmail_anonymizer

我有$SPLUNK_HOME/etc/system/local/transforms.conf

[shopperEmail_anonymizer] 
REGEX = (.*)shopperEmail\":\"(.*)\" 
FORMAT = $1shopperEmail: XXX 
DEST_KEY = _raw

我有$SPLUNK_HOME/etc/system/local/inputs.conf

[monitor:///var/log]
disabled = 0
index=index_name
sourcetype=my_source_type

但当我进行搜索时，shopperEmail并不是匿名的。我希望这件事能在“扣人心弦”中看到：

[2022-03-25 14:30:08] LoggerTest.INFO: JSON Request to MySystem {"shopperEmail":"**"} 

你能告诉我出什么事了吗？我尝试了很多选择，但都没有效果。提前谢谢你。

Answer 1

尝试使用SEDCMD代替。我发现它更简单更可靠。

在props.conf中：

[source::/var/log/test2.log]
SEDCMD-anonShopper = s/shopperEmail\":\"(.*)\"/shopperEmail":"XXX"/

Answer 2

我使用了错误的转发器类型