0
У нас есть надстройка, которая успешно передает данные конечной точки API REST, но мы хотим переключиться на использование конечной точки EC. Однако при тестировании мы обнаружили, что извлечение поля не выполняется, когда мы отправляем данные JSON через конечную точку EC, хотя используется тот же самый тип sourcetype. Я использую Splunk 6.4.1SPLUNK - извлечение поля не выполнено для JSON, загруженного через конечную точку EC
У меня есть скриншоты, как поля JSON могут быть извлечены правильно ли я загрузить данные вручную & как поля НЕ были извлечены, если файл в формате JSON передается через конечную точку EC
https://drive.google.com/open?id=0B3ujiBaFxN0ZenAtVGtid29JY3M
свойства моего типа источника следует
pulldown_type = true
INDEXED_EXTRACTIONS = json
KV_MODE = none
NO_BINARY_CHECK = true
TIMESTAMP_FIELDS = TIMESTAMP
TZ = UTC
category = Structured
description = Test
disabled = false