issues had been resolved. I did the props.conf and transforms.conf on the search heads alone, it didn't work. I also both props.conf and transforms.conf on the heavyforwarder, then it works. thank you for your helps!!! ... View more

feb 01 10:24:12 myhostname 2025-02-01 10:24:12,999, myhostname, audit.admin.com.cd.etc info feb 01 10:24:12 myhostname 2025-02-01 10:24:12,999, myhostname, audit.system.com.cd.etc info inputs.conf  sourcetype = rsa:syslog my props.conf   I would like to change sourcetype base "admin", OR "system" depend on raw events. [rsa:syslog] TRANSFORMS-change_sourcetype = change_admin_sourcetype, change_system_sourcetype my transforms.conf [change_admin_sourcetype] DESK_KEY = MetaData:Sourcetype REGEX = \,\s+auddit\.admin FORMAT = sourcetype::rsa:admin [change_system_sourcetype] DESK_KEY = MetaData:Sourcetype REGEX = \,\s+auddit\.system FORMAT = sourcetype::rsa:system ... View more

sorry, it was my typo here. in my my transforms.conf is "\,\s+aduit\.admin thank you for catching that. ... View more

"rsa:syslog"  is sourcetype, and I want to change to another sourcetype. I will try with SOURCE_KEY = _raw. thank you for your help   ... View more

yes, that is correct. I don't want to alter the location and hostname columns. I just want to append the IP and MAC columns if it matches the hostname and host.  In addtion, I don't want to overwrite the hostnames.csv file.  thank you ... View more

hostname.csv          ip                              mac                               hostname                                     location                     description 1.      x.x.x.x                                                             abc_01                                           NYC                            null mac 2.                                      00:00:00                       def_02                                            DC                              null ip 3.      x.x.x.y                    00:00:11                        ghi_03                                           Chicago                     no update 4.                                                                                jkl_04                                             LA                                null mac & ip 5.                                                                               Hostname_not_in_idx             Seatle                        not match i would like to search in Splunk index=* host=* ip=* mac=*, compare my host equal to my hostname column from a lookup file "hostname.csv". if it matches, then I would like to append ip and mac values from the index=* to hostname.csv file. if it doesn't match the Hostname and host, it will not alter hostname.csv file. (I don't want to overwrite the hostname.cvs. I want to append only the ip and mac values from the index to the hostname.csv file.) the result look like this. the based_search doesn't have location field. I would like to keep the location column as it. new hostname.csv file.               ip                              mac                             hostname                                               location                 description 1.       x.x.x.x                     00:new:mac                abc_01                                                   NYC_orig               append mac 2.       x.x.y.new               00:00:00                       def_02                                                    DC_orig                 append ip 3.       x.x.x.y                      00:00:11                       ghi_03                                                     Chicago_orig     no update 4.       new.ip                     new:mac                       jkl_04                                                       LA_orig               append ip & mac 5.                                                                                  Hostname_not_in_idx                      Seatle                   no update thank you for your help ... View more

thank you for your help. hostname.csv ip                     mac                           hostname                location x.x.x.x                                                abc_01                     NYC                        00:00:00                  def_02                       DC x.x.x.y           00:00:11                  ghi_03                        Chicago                                                             jkl_04                         LA   i would like to search in Splunk index=* host=* ip=* mac=*, compare my host equal to my hostname column from a lookup file "hostname.csv",  if it matches, then I would like to write ip and mac values to hostname.csv file. the result look like this.  the based_search doesn't have location. I would like to keep the location column as it. new hostname.csv file. ip                              mac                                       hostname                     location x.x.x.x                  00:new:mac                            abc_01                       NYC_orig x.x.y.new            00:00:00                                   def_02                        DC_orig x.x.x.y                  00:00:11                                    ghi_03                        Chicago_orig new.ip                new:mac                                      jkl_04                        LA_orig thank you. ... View more