Splunk ログが正しく解析されない

この記事では、問題の一般的な症状と、Splunk での適切な解析のためにログエントリ形式を修正する手順について説明します。

説明 description

環境

Adobe Experience Manager as a Cloud Service（AEMaaCS）

問題／症状

Splunk をAdobe Experience Manager（AEM）と組み合わせてログ分析に使用する際、スタックトレースの各行が個々のイベントとして誤って解析される。 これにより、ログ（特にカスタムログ）が連結されて表示されるか、正しく解析されていないように見える場合があります。

カスタムログを Splunk と統合する場合、ログが Splunk で利用されるログプロセッサーである Fluent Bit 用に正しくフォーマットされていることが重要です。 想定される標準形式は次のとおりです。


dd.MM.yyyy HHss.SSS *レベル* [ ロガー] メッセージ


ログがこの形式に準拠していない場合、特にアスタリスクを含むログレベルのカプセル化と正確なタイムスタンプ形式に関して、Splunk は、スタックトレースなどの複数行ログエントリの各行を誤って別のイベントとして扱う場合があります。

解決策 resolution

Splunk のログ解析の問題を修正するには、AEM内のカスタムログ実装を必要な形式に従うように更新します。 SLF4J を Logback または他のフレームワークと共に使用する場合、ログパターンは次のように設定する必要があります。

{0,date,dd.MM.yyyy HHss.SSS} *{4}* [ {3}] {5}

ログレベルのプレースホルダー{4} の周囲にアスタリスクが配置されていることに注意してください。 この小さな不一致は、解析プロセスに影響を与え、Splunk の解析や表示の問題につながる可能性があります。

このパターンでは、ログエントリが想定される形式に一致し、ログレベルがアスタリスクと日付で囲まれた日 – 月 – 年の順序になります。

AEM as a Cloud Serviceでのログフォーマットの設定と設定の包括的な手順については、を参照してください。 ログドキュメント.

指定されたログ形式に準拠することで、お客様は、Splunk が複数行のログエントリを正しく解析し、より効果的な監視と分析を容易にすることができます。