Splunk Search

文字の多いイベントに対し、REGEXが正しく処理されない

cwl
Contributor

イベントをインデックスする前に特定のフィールドの内容を transforms.conf 内の REGEX で加工しているが、4500適度(かそれ以上)の文字のイベントに対し、REGEXで指定した正規表現が正しく処理されない。

0 Karma
1 Solution

cwl
Contributor

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf

LOOKAHEAD = <integer>
* NOTE: This option is only valid for index-time field extractions.
* Optional. Specifies how many characters to search into an event.
* Defaults to 4096. You may want to increase this value if you have event line lengths that
exceed 4096 characters (before linebreaking).

View solution in original post

0 Karma

cwl
Contributor

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf

LOOKAHEAD = <integer>
* NOTE: This option is only valid for index-time field extractions.
* Optional. Specifies how many characters to search into an event.
* Defaults to 4096. You may want to increase this value if you have event line lengths that
exceed 4096 characters (before linebreaking).

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...