Bằng cách sử dụng tính năng LINE_BREAKER và khơng cần hợp nhất chúng lại. Việc này giúp tăng tốc độ đánh chỉ mục trên dữ liệu nhưng khi làm việc với các dữ liệu này sẽ khó khăn hơn. Nó phù hợp với những người quản trị đã có kinh nghiệm với việc xử lí dữ liệu này và phải thu thập một lượng lớn các log. Với
cách này chỉ cần sử dụng thuộc tính LINE_BREAKER và đặt SHOULD_LINEMERGE=false.
Ví dụ việc chỉ định chia nhỏ sự kiện
[my_custom_sourcetype]
BREAK_ONLY_BEFORE = ^\d+\s*$
Với cấu hình trên thì nó chỉ định cho Splunk phân chia các sự kiện bằng cách giả định bất kì dịng chứa các chỉ số bắt đầu một sự kiện mới. Nó sẽ áp dụng cho bất kì loại nguồn được đặt trong “my_custom_sourcetype”.
Cấu hình nhãn thời gian (timestamps)
Timestamps là rất quan trọng đối với Splunk. Nó sử dụng nhãn thời gian để tương quan các sự kiện theo thời gian, để tạo các biểu đồ thời gian trong Web splunk, và thiết lập các khoảng thời gian cho việc tìm kiếm.
Splunk gán các timestamp một cách tự động trong thời gian nó đánh chỉ mục sử dụng thơng tin từ dữ liệu sự kiện thô. Nếu một sự kiện mà khơng chứa thời gian cụ thể, nó sẽ gán dựa theo các cách thức khác. Một vài dữ liệu có thể cần định nghĩa ra cách đánh timestamp.
Splunk lưu trữ các giá trị timestamp trong trường _time.
Xử lí timestamp là một bước chính trong q trình xử lí sự kiện.
Splunk sử dụng các quy tắc dưới đây để gán timestamp cho các sự kiện:
- Splunk tìm kiếm thời gian hoặc ngày trong bản thân các sự kiện sử dụng một TIME_FORMAT nếu được sử dụng. Người quản trị có thể cấu hình thuộc tính TIME_FORMAT trong props.conf.