Splunk ログが正しく解析されない

この記事では、Splunkで適切に解析するためのログエントリ形式を修正するための一般的な問題の症状と手順について説明します。

説明 description

環境

Adobe Experience Manager as a Cloud Service （AEMaaCS）

問題／症状

Splunkをログ分析にAdobe Experience Manager（AEM）と組み合わせて使用すると、スタックトレースの各行が個々のイベントとして誤って解析されます。 これにより、ログ（特にカスタムログ）が連結されて表示されるか、正しく解析されていないように見えます。

カスタムログをSplunkと統合する場合、ログがSplunkで使用されるログプロセッサであるFluent Bit用に正しくフォーマットされていることが重要です。 想定される標準的な形式は次のとおりです。

dd.MM.yyyy HHss.SSS *LEVEL* [ ロガー] メッセージ


ログがこの形式に準拠していない場合、特にアスタリスクを使用したログレベルのカプセル化と正確なタイムスタンプ形式に関しては、Splunkはスタックトレースなどの複数行ログエントリの各行を個別のイベントとして誤って扱う可能性があります。

解決策 resolution

Splunkのログ解析の問題を修正するには、必要なフォーマットに従って、AEM内のカスタムログ実装を更新します。 ログバックまたはその他のフレームワークでSLF4Jを使用する場合は、ログパターンを次のように設定する必要があります。
{0,date,dd.MM.yyyy HHss.SSS} *
* [ ] {4}
{5} ログレベルのプレースホルダー{4}の周囲にアスタリスクが配置されていることに注意してください。 この小さな相違は、解析プロセスに影響を与える可能性があり、解析とSplunkでの表示の問題につながります。

このパターンにより、ログエントリが期待される形式に一致し、ログレベルがアスタリスクで囲まれ、日付が日付年順に表示されます。

AEM as a Cloud Serviceでのロギング形式の設定と設定に関する包括的な手順については、​ ロギングに関するドキュメント ​を参照してください。

指定されたログ形式に準拠することで、Splunkが複数行のログエントリを正しく解析し、より効果的な監視と分析を促進することができます。