這個問題困擾了我很久,雖然有比較不好的解法(效率較差,such as FTP)
但現在單純修改 Splunk Forwarder內的設定即可
一開始看官網,很容易會以為是要修改 Splunk Server上的設定
實際上是要修改 Splunk Forwarder的設定即可
首先至 Splunk Forwarder安裝的目錄下 /etc/system/default
複製一份 props.conf 至 /etc/system/local [這是 Splunk 官方的建議]
就是以後修改,以修改此 props.conf為主,不要修改 default.conf
在檔案的最下方,新增如下2行(注意大小寫)
[wls_log]
CHARSET = BIG5
*****這兩行的意思是,傳輸 sourcetype=wls_log的檔案,將編碼設定 BIG5*****
將Splunk Forwarder停止
登入至Splunk Server,刪除先前由此台WLS Log Server所傳進來的檔案
sourcetype=wls_log | delete (注意,admin必須事先設定擁有刪除的權限)
重新啟動 Splunk Server
啟動 Splunk Forwarder
建立一筆有中文的 Log, 至Splunk Server查詢吧!
