escape-последовательности splunk и ansi?
Есть ли способ вывести цветной вывод ANSI в мои журналы, а также использовать его в splunk?
либо Splunk показывает цвет (идеально, но крайне маловероятно), либо применить фильтр к Splunk, чтобы удалить escape-последовательности?
1 ответ
Удалить ненужный текст довольно легко с помощьюSEDCMDатрибут в props.conf. Если нежелательный текст можно описать регулярным выражением, его можно удалить, а остальную часть события сохранить.
Добавьте это в соответствующий раздел файла props.conf:
SEDCMD-noColor = s/\[36;3DEBUG\[38;8//
Если цифры не фиксированы, регулярное выражение необходимо соответствующим образом скорректировать. Кроме того, это регулярное выражение не учитывает символ ESC, если он присутствует в данных.