Splunk - Comprendre la precedence dans le props.conf
Alasta 16 Novembre 2019 splunk cli splunk admin
Description : Nous allons voir la precedence dans le fichier props.conf
Introduction :
La precedence dans les phases d’indexing est de search a été présentée.
Voici comment cela ce gère dans le props.conf.
Precedence des stanzas :
- source
- host
- sourcetype
Precedence sur un stanza :
Reprenons l’exemple de la doc, nous avons une source::az :
[source::...a...]
sourcetype = a
[source::...a...]
sourcetype = zPour notre exemple c’est la source::…a… qui va prendre la precedence.
On peut modifier cela en utilisant l’attribut priority (cf doc officielle en annexe).
Annexes :
Doc officielle - Attribute precedence within a single props.conf file Doc officielle - props.conf