Назад | Перейти на главную страницу

Splunk: как извлечь поля из расширенного формата W3C

Я пытаюсь настроить Splunk для правильного анализа полей формата журнала W3C.

Теперь у меня путаница в конфигурации: где и как мне указать, как разделить формат журнала?

Мой Inputs.conf выглядит так:

[monitor://C:\WINDOWS\system32\LogFiles\W3SVC98989898]
disabled = false
host = mywebsite.net
sourcetype = iis

Я попытался добавить это в свой sourcetypes.conf:

[iis_w3c_default]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

Но при использовании ths в качестве типа источника не удалось извлечь никаких значимых полей.

Думаю, я просто не понимаю всего, что делает Splunk ...

Как только это будет работать, я планирую переиндексировать все свои данные с новыми полями (что само по себе будет тяжелым испытанием).

Мне очень, очень хочется полюбить Splunk, но конфигурация слишком шаткая ...

Вы можете фильтровать строки, начинающиеся с символа #, используя преобразование.

В props.conf (вы можете просто добавить дополнительную строку ниже существующей настройки):

[iis_w3c_default]
TRANSFORMS-blacklist-hash = iis_blacklist_hash

В transforms.conf:

[iis_blacklist_hash]
REGEX = ^#
DEST_KEY = queue
FORMAT = nullQueue

Вот что я сделал:

etc \ system \ local \ props.conf:

[iis_w3c_default]
REPORT-foobar=iis_w3c_default_extractions

etc \ system \ local \ transforms.conf:

[iis_w3c_default_extractions]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

Обновится, как только я выясню, как удалить строки, в которых есть символ "#".