Solved: Re: 文字の多いイベントに対し、REGEXが正しく処理されない

cwl · ‎09-05-2013

イベントをインデックスする前に特定のフィールドの内容を transforms.conf 内の REGEX で加工しているが、4500適度（かそれ以上）の文字のイベントに対し、REGEXで指定した正規表現が正しく処理されない。

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

View solution in original post

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

文字の多いイベントに対し、REGEXが正しく処理されない

Extending Observability Content to Splunk Cloud

More Control Over Your Monitoring Costs with Archived Metrics!

New in Observability Cloud - Explicit Bucket Histograms