1: 背景:
最近用户有个疑问,就是有些字段的输出有点问题,不确定是否被加工过。
2: 查找问题:
index=abc sourcetype=def123
发现字段: city_shanghai 的输出可能有点问题。
3: 排查问题:
先去这个splunk search head cluster 的页面: server 的查找如下:
登入so1 server, 然后切换到splunk 用户:
使用如下的命令:
splunk btool props list def123 --debug
注意:起关键作用的是: sourcetype, 我看到如下输出:
/opt/splunk/etc/apps/abc/local/props.conf [def123]
/opt/splunk/etc/apps/abc/local/props.conf FIELDALIAS-city = "source-city" ASNEW city
并没有字段:city_shanghai
就可以证明:这个字段;city_shan
