有没有什么办法可以让我的日志有 ANSI 颜色输出并且在 splunk 中使用它们?
要么让 splunk 显示颜色(理想但可能性极小)要么在 splunk 上应用过滤器来删除转义序列?
答案1
使用SEDCMDprops.conf 中的属性可以很容易地删除不需要的文本。如果不需要的文本可以用正则表达式描述,则可以将其删除并保留事件的其余部分。
将其添加到相关的 props.conf 文件节中:
SEDCMD-noColor = s/\[36;3DEBUG\[38;8//
如果数字不固定,则正则表达式必须进行相应调整。此外,如果数据中存在 ESC 字符,则此正则表达式不考虑该字符。