Splunk記錄檔未正確剖析

本文會說明此問題的常見症狀,以及修正記錄專案格式的步驟,以便在Splunk中正確進行剖析。

說明 description

環境

Adobe Experience Manager as a Cloud Service (AEMaaCS)

問題/症狀

在搭配Adobe Experience Manager (AEM)使用Splunk進行記錄分析時,棧疊追蹤的每一行都會錯誤地剖析為個別事件。 這會導致記錄(尤其是自訂記錄)顯示為串連,或也可能無法正確剖析。

將自訂記錄檔與Splunk整合時,請務必針對Splunk所使用的記錄檔處理器Fluent Bit正確格式化記錄檔。 所需的標準格式為:


dd.MM.yyyy HHss.SSS *LEVEL* [記錄器]訊息


如果記錄檔不遵循此格式,尤其是有關帶有星號的記錄檔層級封裝和精確的時間戳記格式時,Splunk可能會錯誤地把多行記錄檔專案的每一行(例如棧疊追蹤)視為單獨的事件。

解決方法 resolution

若要修正Splunk中的記錄剖析問題,請更新AEM中的自訂記錄實作,以遵循所需的格式。 對於搭配記錄檔或其他架構使用SLF4J的使用者,記錄模式應設定如下:

{0,date,dd.MM.yyyy HHss.SSS} *{4}* [ {3}] {5}

請注意記錄層級預留位置{4}周圍的星號位置。 這個小差異可能會影響剖析程式,導致Splunk中的剖析和顯示問題。

此模式會確保記錄專案符合預期的格式,並以星號包住記錄層級,並以日 — 月 — 年順序顯示日期。

如需在AEM as a Cloud Service中設定記錄格式的完整指示,請參閱記錄檔案

透過遵循指定的記錄格式,客戶可以確保Splunk正確剖析多行記錄專案,促進更有效的監控和分析。

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f