1.进入Splunk转发器安装目录下的 local 文件夹,路径为:/etc/system/local/
2.新建或修改配置文件 transforms.conf 新增内容如下:
[TSNAME]
REGEX = 正则表达式
DEST_KEY = queue
FORMAT = nullQueue
TSNAME 为这个转化的名称,自定义,后面会用到
Splunk 会将所有匹配 REGEX 值的记录转发到一个空队列,效果就是这部分数据不会存入索引,被过滤掉了。
3.新建或修改配置文件 props.conf 新增内容如下:
[source::SOURCENAME]
TRANSFORMS = TSNAME
SOURCENAME 填写要过滤的数据源。
4.重启转发器