Getting Data In
Highlighted

iso-2022-jp でエンコードされたデータがインデクスされない

Communicator

iso-2022-jp でエンコードされた電子メールを Splunk で Index しようと props.conf に下記の設定をしました。

[sample_mail] 
CHARSET = ISO-2022-JP

その後、インデックスされたデータを確認するとその内容は文字化けしており、splunkd.log には下記のエラーが出力されていました。

01-26-2017 14:14:59.932 +0800 ERROR UTF8Processor - Unable to convert character set 'ISO-2022-JP' to UTF8, using existing content as is - data_source="/var/log/test/1487225670.xxxmail-bk.splunk.local", data_host="ben", data_sourcetype="sample_mail"<br/>
01-26-2017 14:14:59.932 +0800 ERROR UTF8Processor - Could not get character conversion specification, discarding incoming data - data_source="/var/log/test/1487225670.xxxmail-bk.splunk.local", data_host="ben", data_sourcetype="sample_mail"

また、電子メールの内容が、インデックスされないデータもありました。
iso-2022-jp でエンコードされたデータをインデックスする方法をご教示ください。

0 Karma
Highlighted

Re: iso-2022-jp でエンコードされたデータがインデクスされない

Communicator

iso-2022-jp を含む iso-2022シリーズのキャラクターセットの使用は、サポート対象外となりますのでインデックスすることはできません。
なお、SPL-136289 にて将来のリリースに対する機能拡張要求が出されておりますが、その対応については未定です。

0 Karma