IIS 로그 인 Splunk 매우 쉽게,하지만 당신은 (당신이 로그 형식을 변경할 수 있기 때문에) 로그가에있는 어떤 형식으로 알려야합니다. 다음은 당신을위한 예입니다. inputs.conf에서
($ SPLUNK_HOME \ 등 \ SYSTEM \ 로컬 \의 inputs.conf),이 같은 연을 추가
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
을 props.conf에서 ($ SPLUNK_HOME \에게 등 \ 시스템을 현지 \ \ props.conf),이 같은 연을 추가
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
마지막으로, 우리는 다음과 같이 $ SPLUNK_HOME \ 등 \ SYSTEM \ 로컬 \의 transforms.conf)에 transforms.conf에있는 두 개의 변환을 (정의해야 :
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
mswin_2008r2_iis_fields의 형식은 IIS 로그 파일의 맨 위에서 가져옵니다. 이것은 Windows Server 2008 R2의 기본 IIS 로그에 대한 것입니다. 위치와 형식이 버전마다 다르며 호스트별로 위치와 형식을 모두 변경할 수 있습니다.
이러한 구성 파일에 대한 자세한 내용은
, 문서 참조 -에서 자유롭게 사용할 수를 http://docs.splunk.com
인덱스가 설명 된대로 작동해야합니다. 인덱스 msexchange를 만들어야했지만, iis 또는 something이라 불리는 것을 만드는 것이 더 유용하다고 가정합니다 ... –