如何向splunk中的事件添加自定义字段?

你用这么小的事件来测试Splunk,这对你自己是一种伤害。他们不能让你看到斯普伦能做什么。您只会得到默认字段,因为splunk不知道如何处理单个单词。如果你有“foo=bar”之类的东西,那么你会看到splunk创建了“foo”字段。

每台计算机都至少有一个日志文件可用于测试splunk。

可以使用转换将字段添加到事件中。这样做是一个高级主题,不能使用GUI完成。我建议你在试着跑步之前先学会用更好的样本数据走路。

我还想提到我是通过splunk sdk提交事件的。

为了获得我想要在事件中显示的字段,我必须提交事件数据作为事件名称。

    var myindexes = service.indexes();
    // Submit an event to the index
    myindexes.fetch(function (err, myindexes) {
    let myindex = myindexes.item("audits-client");


    let evtData = {
        timestamp: Date.now(),
        userAgent: headers['user-agent'],
        protocol: "http",
        file: "null"
    }

    myindex.submitEvent(evtData, {

        sourcetype: "web"

    }, function (err, result, myindex) {
        console.log("Submitted event: ", result);
        return result
    });
});