Splunk-Protokolle werden nicht korrekt geparst
Dieser Artikel behandelt die häufigen Symptome des Problems und die Schritte zum Korrigieren des Protokolleintragsformats für das korrekte Parsen in Splunk.
Beschreibung description
Umgebung
Adobe Experience Manager as a Cloud Service (AEMaaCS)
Problem/Symptome
Bei Verwendung von Splunk für die Protokollanalyse in Verbindung mit Adobe Experience Manager (AEM) wird jede Zeile einer Stacktrace fälschlicherweise als einzelnes Ereignis geparst. Dies führt dazu, dass die Protokolle (insbesondere die benutzerdefinierten Protokolle) verkettet angezeigt werden oder möglicherweise auch nicht korrekt geparst werden.
Bei der Integration benutzerdefinierter Protokolle mit Splunk ist es wichtig, dass die Protokolle für den von Splunk verwendeten Protokollprozessor, Fluent Bit, korrekt formatiert sind. Als Standardformat wird erwartet:
dd.MM.yyyy HHss.SSS *LEVEL* [ Logger] Meldung
Wenn die Protokolle diesem Format nicht entsprechen, insbesondere hinsichtlich der Kapselung der Protokollebene mit Sternchen und des präzisen Zeitstempelformats, kann Splunk fälschlicherweise jede Zeile eines mehrzeiligen Protokolleintrags, wie z. B. einen Stacktrace, als separate Ereignisse behandeln.
Auflösung resolution
Um das Problem mit dem Protokoll-Parsing in Splunk zu beheben, aktualisieren Sie die benutzerdefinierte Protokollierungsimplementierung in AEM, sodass sie das erforderliche Format aufweist. Für Benutzer, die SLF4J mit Logback oder anderen Frameworks verwenden, sollte das Protokollmuster wie folgt konfiguriert werden:
{0,date,dd.MM.yyyy HHss.SSS} *{4}* [ {3}] {5}
Beachten Sie die Platzierung von Sternchen um den Platzhalter {4} auf Protokollebene. Diese geringfügige Diskrepanz kann sich auf den Parsing-Prozess auswirken und zu Parsing- und Anzeigeproblemen in Splunk führen.
Durch dieses Muster wird sichergestellt, dass die Protokolleinträge dem erwarteten Format entsprechen, wobei die Protokollebene von Sternchen umgeben ist und das Datum in der Tag-Monat-Jahr-Reihenfolge vorliegt.
Ausführliche Anweisungen zum Einrichten und Konfigurieren von Protokollierungsformaten in AEM as a Cloud Service finden Sie in der Protokollierungsdokumentation.
Durch die Einhaltung des angegebenen Protokollformats können Kunden sicherstellen, dass Splunk mehrzeilige Protokolleinträge korrekt analysiert, was eine effektivere Überwachung und Analyse ermöglicht.