推出 splunk 我正在考虑切换到 JSON。Splunk 现在支持 spath,甚至支持使用 JSON 以提高用户友好性(参考:http://dev.splunk.com/view/logging-best-practices/SP-CAAADP6)
讽刺的是,Splunk 也不建议使用 JSON(参考:http://docs.splunk.com/Documentation/Storm/Storm/User/Bestpractices)。当然,风暴是云而不是托管的,但这到底是怎么回事?
有人在 splunk 中使用过 JSON 吗?有人能谈谈索引搜索的实际性能差异以及利用 spath 轻松创建搜索查询的能力吗?
答案1
Splunk 原生支持 JSON——只要 JSON 格式正确,Splunk 就能顺利处理
使用 Splunk 索引 JSON 数据和纯文本数据没有明显区别
一些 docs.Splunk 参考资料供您参考:
- https://docs.splunk.com/Documentation/Splunk/8.0.3/Knowledge/Automatickey-valuefieldextractionsatsearch-time
- https://docs.splunk.com/Documentation/Splunk/8.0.3/SearchReference/Spath
- https://docs.splunk.com/Documentation/Splunk/8.0.3/Data/IFXandHEC
没有什么能说明你必须用于spathJSON 数据,顺便说一句:我经常使用多值 运营(喜欢展开(当不在eval)时)因为它们更简单,更容易理解
答案2
根据我的经验,Splunk + JSON 在 Splunk 的更高版本中性能良好。能够将您想要的任何内容转储为 JSON,而不必担心转义等,这让整个过程变得更加简单。据我所知,Storm 是 Splunk 的前身,Splunk 从那时起就不断发展。
如果你使用 Java 和 Logback,你可以使用类似的库logstash-logback-编码器。LoggingEventCompositeJsonEncoder编码器允许您自定义写出的内容,以便它可以与任何东西配合使用,而不仅仅是 Logstash。