Los registros de Splunk no se analizan correctamente

Este artículo aborda los síntomas comunes del problema y los pasos para corregir el formato de entrada de registro para un análisis adecuado en Splunk.

Descripción description

Entorno

Adobe Experience Manager as a Cloud Service (AEMaaCS)

Problema/Síntomas

Al utilizar Splunk para el análisis de registro junto con Adobe Experience Manager AEM (), cada línea de un seguimiento de pila se analiza incorrectamente como un evento individual. Esto hace que los registros (especialmente los registros personalizados) aparezcan concatenados o que también parezca que no se analizan correctamente.

Al integrar registros personalizados con Splunk, es crucial que los registros tengan el formato correcto para Fluent Bit, el procesador de registros utilizado por Splunk. El formato estándar esperado es:


dd.MM.yyaa HHss.SSS *LEVEL* [ logger] message


Si los registros no se ajustan a este formato, especialmente en relación con la encapsulación del nivel de registro con asteriscos y el formato de marca de tiempo preciso, Splunk puede tratar erróneamente cada línea de una entrada de registro de varias líneas, como un seguimiento de pila, como eventos independientes.

Resolución resolution

AEM Para corregir el problema de análisis de registro en Splunk, actualice la implementación de registro personalizado en para que siga el formato requerido. Para aquellos que utilizan SLF4J con Logback u otros módulos, el patrón de registro debe configurarse de la siguiente manera:

{0,date,dd.MM.yyaa HHss.SSS} *{4}* [ {3}] {5}

Observe la colocación de asteriscos alrededor del marcador de posición de nivel de registro {4}. Esta discrepancia menor puede afectar al proceso de análisis, lo que provoca problemas de análisis y visualización en Splunk.

Este patrón garantiza que las entradas del registro coincidan con el formato esperado, con el nivel de registro rodeado de asteriscos y la fecha en el orden día-mes-año.

Para obtener instrucciones completas sobre la configuración de formatos de registro en as a Cloud Service, consulte la sección sobre la configuración de formatos de registro en AEM. documentación de registro.

Al ajustarse al formato de registro especificado, los clientes pueden asegurarse de que Splunk analice correctamente las entradas de registro multilínea, lo que facilita una monitorización y un análisis más efectivos.