我正在使用 splunk 转发器将我的 IBM MQ v9.1 错误日志转发到一个集中式集群,以查看我的分布式消息传递系统中发生的常见错误的趋势。
但是我无法解析所需的字段,因为 MQ 错误日志的格式各不相同,即消息的严重性可能是错误、警告、信息、严重和终止,并且每个字段本身都有不同的字段集并且不一致.
请让我知道是否有人在 splunk 中使用正则表达式来解析 v9.1 的 IBM MQ 错误日志的字段。
我尝试了一些正则表达式模式,但没有按预期解析。
我已经提到了下面的链接,但那是针对 v8 的,v9 的错误日志格式不同,https: //t-rob.net/2017/12/18/parsing-mq-error-logs-in -splunk/
此外,splunk 用户无法访问错误日志。我在 qm.ini 文件系统中更新了以下节:ValidateAuth=No
还将 chmod -R 755 设置为 /var/mqm/qmgrs/qmName/errors 文件夹。
尽管 ERROR 日志的权限在更新时不会更改,但当日志轮换时,权限将被撤销,并且 splunk 用户无法读取日志。
请让我知道如何在不将 splunk 用户添加到 mqm 组的情况下克服这个问题