Solved: 文字の多いイベントに対し、REGEXが正しく処理されない

cwl · ‎09-05-2013

イベントをインデックスする前に特定のフィールドの内容を transforms.conf 内の REGEX で加工しているが、4500適度（かそれ以上）の文字のイベントに対し、REGEXで指定した正規表現が正しく処理されない。

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

View solution in original post

cwl · ‎09-05-2013

transforms.conf 内の REGEX はデフォルトで 4096 文字までしか処理しません。4096 以上の文字を処理したい場合、transforms.conf に LOOKAHEAD を追加し、文字数を指定する必要があります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Transformsconf
LOOKAHEAD = <integer> * NOTE: This option is only valid for index-time field extractions. * Optional. Specifies how many characters to search into an event. * Defaults to 4096. You may want to increase this value if you have event line lengths that exceed 4096 characters (before linebreaking).

文字の多いイベントに対し、REGEXが正しく処理されない

Join Us for Splunk University and Get Your Bootcamp Game On!

.conf24 | Learning Tracks for Security, Observability, Platform, and Developers!

Announcing Scheduled Export GA for Dashboard Studio