iso-2022-jp でエンコードされた電子メールを Splunk で Index しようと props.conf に下記の設定をしました。
[sample_mail]
CHARSET = ISO-2022-JP
その後、インデックスされたデータを確認するとその内容は文字化けしており、splunkd.log には下記のエラーが出力されていました。
01-26-2017 14:14:59.932 +0800 ERROR UTF8Processor - Unable to convert character set 'ISO-2022-JP' to UTF8, using existing content as is - data_source="/var/log/test/1487225670.xxxmail-bk.splunk.local", data_host="ben", data_sourcetype="sample_mail"<br/>
01-26-2017 14:14:59.932 +0800 ERROR UTF8Processor - Could not get character conversion specification, discarding incoming data - data_source="/var/log/test/1487225670.xxxmail-bk.splunk.local", data_host="ben", data_sourcetype="sample_mail"
また、電子メールの内容が、インデックスされないデータもありました。
iso-2022-jp でエンコードされたデータをインデックスする方法をご教示ください。
↧