일부 서버에서 IIS 로그 파일을 구문 분석하기 위해 Splunk를 사용하고 있습니다. 모든 서버는 동일한 필드 설정을 IIS에 있고 모든 서버는 동일한 버전의 Windows 2003 서버를 실행합니다. 그러나 splunk는 동일한 서버 에서조차 "iis"또는 "iis-2"또는 "iis-3"로 로그 파일의 소스 유형에 태그를 지정합니다. 패턴을 찾을 수없는 것 같습니다. 어떻게 splunk 태그 모든 로그 파일에 동일한 유형을 확인하려면?splunk가 IIS 로그 파일을 구문 분석합니다.
또 다른 질문은 일부 로그 파일의 경우 splunk가 자동으로 쿼리 문자열 필드의 모든 키/값을 추출하는 반면 일부 로그 파일은 그렇지 않다는 것입니다. 쿼리 문자열 키/값을 구문 분석하기 위해 splunk를 갖고 싶습니다. 인덱스 시간에는 검색 시간 동안 빠를 것입니다.
누구의 도움?
감사
IIS 로그 인 Splunk 매우 쉽게,하지만 당신은 (당신이 로그 형식을 변경할 수 있기 때문에) 로그가에있는 어떤 형식으로 알려야합니다. 다음은 당신을위한 예입니다. inputs.conf에서
($ SPLUNK_HOME \ 등 \ SYSTEM \ 로컬 \의 inputs.conf),이 같은 연을 추가
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
을 props.conf에서 ($ SPLUNK_HOME \에게 등 \ 시스템을 현지 \ \ props.conf),이 같은 연을 추가
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
마지막으로, 우리는 다음과 같이 $ SPLUNK_HOME \ 등 \ SYSTEM \ 로컬 \의 transforms.conf)에 transforms.conf에있는 두 개의 변환을 (정의해야 :
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
mswin_2008r2_iis_fields의 형식은 IIS 로그 파일의 맨 위에서 가져옵니다. 이것은 Windows Server 2008 R2의 기본 IIS 로그에 대한 것입니다. 위치와 형식이 버전마다 다르며 호스트별로 위치와 형식을 모두 변경할 수 있습니다.
이러한 구성 파일에 대한 자세한 내용은, 문서 참조 -에서 자유롭게 사용할 수를 http://docs.splunk.com
당신은 인 Splunk를 말하지 않는 경우 특정 "sourcetype"을 사용하면 새로운 sourcetype을 만들고 어떤 sourcetype이 그것이 일치한다고 생각하는지에 따라 이름을 지정합니다.
이 기능이 다른 유형의 소스 유형을 함께 묶지 않도록하려면 Splunk는 일련 번호가 추가 된 새로운 소스 유형을 만듭니다. 그 이유는 "iis-2" "iis-3"등입니다. 새 데이터 입력을 만들 때, 데이터와 일치하는 경우 "iis"소스 유형을 선택하거나 새로운 "iis- 뭐든간에 "귀하의 데이터에 대한 소스 유형.
인덱스가 설명 된대로 작동해야합니다. 인덱스 msexchange를 만들어야했지만, iis 또는 something이라 불리는 것을 만드는 것이 더 유용하다고 가정합니다 ... –