splunk字段中的INGEST_EVAL未显示

Question

我有一个csv文件，是手动上传到splunk。我想对文件执行一个INGEST_EVAL，但是在重新启动后这些更改不会传播。我不知道为什么。什么都没显示出来。这就是密码-我做错什么了？我是否需要修改splunk网站上的任何其他配置？(结果也不会在显示源类型的预加载部分中被删除)。

transform.props : 
[myeval]
INGEST_EVAL = eval_user="test"

field.props : 
[myeval]
INDEXED = True

props.config 

[newfieldsourcetest]
TRANSFORMS = myeval
DATETIME_CONFIG = 
INDEXED_EXTRACTIONS = csv
KV_MODE = none
NO_BINARY_CHECK = true
SHOULD_LINEMERGE = false
category = Structured
description = Comma-separated value format. Set header and other settings in "Delimited Settings"
disabled = false
pulldown_type = true

Answer 1

您的所有文件名都不正确。它们应该像在https://docs.splunk.com/Documentation/Splunk/latest/Data/IngestEval上描述的那样

• transforms.conf
• fields.conf
• props.conf

您不提供您正在使用的的哪个版本- 7.2或更高版本是必需的。

在做了这些改变之后，你的应该能工作。

我使用的方法如下：

transforms.conf

INGEST_EVAL = eval_user="test", event_length=length(_raw)

fields.conf

INDEXED = True

props.conf

category = Custom
pulldown_type = 1
SHOULD_LINEMERGE=FALSE
TRANSFORMS=timestampeval

请注意，对于大多数这些更新，不需要重新启动Splunk，而是可以调用http://:8000/en-US/debug/refresh