Solved: 文字の多いイベントに対し、REGEXが正しく処理されない

cwl · ‎09-05-2013

イベントをインデックスする前に特定のフィールドの内容を transforms.conf 内の REGEX で加工しているが、4500適度（かそれ以上）の文字のイベントに対し、REGEXで指定した正規表現が正しく処理されない。

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

View solution in original post

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

文字の多いイベントに対し、REGEXが正しく処理されない

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor

Introducing the 2024 SplunkTrust!