Splunkについて

Splunkの「モニター」で収集するデータに含まれる日本語の文字化けを直す方法(文字コードをSHIFT_JISにする方法)

Splunkerの皆さん、こんにちは。
日本語データの取り込みでつまづいたので、メモ書きしておきます。

日本語データを「データの追加」を「アップロード」で単発で行う場合、
そのままの流れで「ソースタイプの設定」の「詳細」から文字コードを指定できます。
日本語の場合、取り込むファイルの文字コードに合わせて「CHARSET」に「SHIFT_JIS」もしくは「UTF-8」と指定すればOKです。

しかし「データの追加」を「モニター」で行う場合、この設定画面が出てきません。
そのまま日本語のデータを取り込むと、当然文字化けします。

ではどうするか?
設定画面から設定できます。
例えば、取り込むファイルの文字コードがSHIFT_JISの場合は以下のとおりとなります。

「設定」→「ソースタイプ」→「新規ソースタイプ」→「ソースタイプを作成」→「詳細」→「CHARSET」に「SHIFT_JIS」を指定する。

これで日本語でデータが表示されるようになります。

試したことはありませんが、「(フォワーダーから)転送」する場合も、
上記手順で日本語表示できるはずです。

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です