Я пытаюсь настроить Splunk для правильного анализа полей формата журнала W3C.
Теперь у меня путаница в конфигурации: где и как мне указать, как разделить формат журнала?
Мой Inputs.conf выглядит так:
[monitor://C:\WINDOWS\system32\LogFiles\W3SVC98989898]
disabled = false
host = mywebsite.net
sourcetype = iis
Я попытался добавить это в свой sourcetypes.conf:
[iis_w3c_default]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"
Но при использовании ths в качестве типа источника не удалось извлечь никаких значимых полей.
Думаю, я просто не понимаю всего, что делает Splunk ...
Как только это будет работать, я планирую переиндексировать все свои данные с новыми полями (что само по себе будет тяжелым испытанием).
Мне очень, очень хочется полюбить Splunk, но конфигурация слишком шаткая ...
Вы можете фильтровать строки, начинающиеся с символа #, используя преобразование.
В props.conf (вы можете просто добавить дополнительную строку ниже существующей настройки):
[iis_w3c_default]
TRANSFORMS-blacklist-hash = iis_blacklist_hash
В transforms.conf:
[iis_blacklist_hash]
REGEX = ^#
DEST_KEY = queue
FORMAT = nullQueue
Вот что я сделал:
etc \ system \ local \ props.conf:
[iis_w3c_default]
REPORT-foobar=iis_w3c_default_extractions
etc \ system \ local \ transforms.conf:
[iis_w3c_default_extractions]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"
Обновится, как только я выясню, как удалить строки, в которых есть символ "#".