SPLUNK 中字段损坏问题的原因是什么?

【问题标题】:What is the reason of Corrupted fields problem in SPLUNK?SPLUNK 中字段损坏问题的原因是什么?
【发布时间】:2020-06-03 11:39:38
【问题描述】:

过去 25 天我在以下搜索中遇到问题:

index=syslog Reason="接口物理链路已关闭" OR Reason="接口物理链路已启动" NOT mainIfname="Vlanif*" "nw_ra_a98c_01.34_krtti"

通常 field7 的值是这样的:

区域字段7 日期 mainIfname 原因计数 ASYA nw_ra_m02f_01.34pndkdv 可能 9 GigabitEthernet0/3/6 接口物理链路已启动 3 ASYA nw_ra_m02f_01.34pldtwr may 9 GigabitEthernet0/3/24 接口物理链路up 2

但最近他们是这样的:

00:00:00.599 nw_ra_a98c_01.34_krtti 00:00:03.078 nw_ra_a98c_01.34_krtti

我认为问题可能与:

它在磁盘空闲警报之后开始发生。 (-Cri-交换保留,瓶颈情况,当前值:95.00% 超过配置的阈值:90.00%。:07:17 17/02/20) 特别是这与磁盘无关,它与交换空间有关,应用程序完成内存然后进入交换使用。之前有内存增加,但是明显不够,又要切换到swap了。 我需要明白:''他们为什么要使用这么多资源?''

有问题的一:

普通一:

【问题讨论】:

    标签: search report field splunk execute


    【解决方案1】:

    您需要提供示例事件,一个来自正常情况,一个来自有问题的情况。

    您的环境中似乎有人为 field7 开发了一个字段提取,它错误地解析了事件。

    或者,发送系统日志数据的设备可能存在问题并报告错误。根据设备的不同,您最好使用 splunkbase.splunk.com 的 TA 从事件中提取相关信息

    【讨论】:

    猜你喜欢
    • 2010-12-03
    • 2015-06-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-07-19
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode