在c#中创建与splunk兼容的日志文件

Question

我正在尝试创建一个 splunk 将读入并索引的日志文件。使用 Splunk 的 通用信息模型，我已将日志格式化为如下所示：

2011-30-07 12:30:37 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:31:35 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
2011-30-07 12:32:02 name="Name" event_id=00001 src_ip=192.168.0.1 src_port=59176
etc... 

但是，当我将日志文件加载到 Splunk 中时，它会将所有内容作为一个日志读取，并且不会将它们分开！为了在 c# 中编写日志，我使用了 StreamWriter，最后我打印了 \r\n，但我也尝试过 Environment.NewLine （其中显然做了同样的事情）。

这些似乎都不起作用，因此不单独索引！有谁有 Splunk 的经验并知道为什么会这样吗？

Answer 1

我从来没有使用过 splunk，所以我真的不知道我是否正确。

但是，如果我看一下规格（您提供的链接），它们似乎使用双引号，而在您的示例中您输入了单引号。那么也许您所要做的就是将 name='Name' 替换为 name="Name" ？

另一点可能是您必须为标签 vendor 或 product 提供一些信息才能进行一些拆分？

但这都是推测，因为我真的不知道这个工具。

更新

在深入研究他们的网站后，您可以看到他们的比较表 您还可以获得免费版本的基本支持。因此，也许只需您喜欢的支持访问并从该工具的创建者那里获得答案。他们绝对应该知道为什么你的消息不起作用。

Answer 2

感谢奥利弗让我成功了一半。我联系了 Splunk 的一位开发支持人员，虽然他们没有看到答案，但我自己找到了答案。

虽然 Splunk 非常擅长使用日志文件计算日期，但如果它无法识别日期格式，它将不会解析它，因此将整个字符串作为一个事件放入！问题是日期格式错误...即 Ydm，而它应该是 Ymd！

Answer 3

只需使用 log4net，并使用 syslog 模块即可。

将 syslog 指向 splunk 上的 udp 侦听器。

然后很快！效果很好！

（我们让它工作得很好，但正在抛弃 splunk，因为它太贵了。三思而后行！）