下载试用

博客

Splunk使用lookup时提示找不到field

Posted on 2011年02月25日

这是一个常见的问题,有可能是的确是你在lookup文件的第一行申明的field名字和你在lookup命令中使用的不一样。另外一种可能性就是有windows的BOM造成的——这在window上使用lookup查找中文时会遇到。

Splunk只能识别utf-8编码,而window上中文的utf-8编码的文件缺省有BOM头,所以对于第一行”in_field,out_field”来说,实际在编码看来成了”BOMin_field,out_field”,splunk这段代码没有智能判断是否需要去掉BOM,因此把“BOMin_field”看成是一个整体,因此无法查到。

解决这个问题的方法是:使用UltraEdit等工具提供的utf-8 (NO BOM)方法存文件。

问问专家
Splunk销售与支持

  • 联系电话:400-067-1005
  • 电子邮件:contact@10data.com


沪ICP备11017547 沪公网安备 31011502002368号 ©版权所有 2005-2017 上海天旦网络科技发展有限公司(Netis)

GO TOP

返回