Les journaux Splunk ne sont pas correctement analysés

Cet article traite des symptômes courants du problème et des étapes pour corriger le format d’entrée du journal pour une analyse correcte dans Splunk.

Description description

Environnement

Adobe Experience Manager as a Cloud Service (AEMaaCS)

Problème/Symptômes

Lors de l’utilisation de Splunk pour l’analyse du journal en association avec Adobe Experience Manager (AEM), chaque ligne d’une trace de pile est incorrectement analysée en tant qu’événement individuel. Les journaux (en particulier les journaux personnalisés) apparaissent ainsi concaténés ou peuvent également ne pas apparaître correctement analysés.

Lors de l’intégration des journaux personnalisés avec Splunk, il est essentiel que les journaux soient correctement formatés pour Fluent Bit, le processeur de journaux utilisé par Splunk. Le format standard attendu est le suivant :


dd.MM.yyyy HHss.SSS *LEVEL* [ logger] message{4
Si les journaux ne respectent pas ce format, en particulier en ce qui concerne l’encapsulation du niveau de journal avec des astérisques et le format d’horodatage précis, Splunk peut traiter par erreur chaque ligne d’une entrée de journal multiligne, telle qu’une trace de pile, comme des événements distincts.

Résolution resolution

Pour corriger le problème d’analyse des journaux dans Splunk, mettez à jour l’implémentation de journalisation personnalisée dans AEM pour suivre le format requis. Pour les utilisateurs de SLF4J avec Logback ou d’autres structures, le modèle de journal doit être configuré comme suit :

{0,date,dd.MM.yyyy HHss.SSS} *{4}* [ {3}] {5}{4
Notez le placement d’astérisques autour de l’espace réservé au niveau du journal {4}.
Cette incohérence mineure peut affecter le processus d’analyse, ce qui entraîne des problèmes d’analyse et d’affichage dans Splunk.

Ce modèle garantit que les entrées du journal correspondent au format attendu, avec le niveau du journal entouré d’astérisques et la date dans la commande jour-mois-année.

Pour obtenir des instructions complètes sur la configuration et la configuration des formats de journalisation dans AEM as a Cloud Service, reportez-vous à la documentation de journalisation.

En se conformant au format de journal spécifié, les clients peuvent s’assurer que Splunk analyse correctement les entrées de journal multiligne, ce qui facilite une surveillance et une analyse plus efficaces.