Splunk:如何从 W3C 扩展格式提取字段

Splunk:如何从 W3C 扩展格式提取字段

我正在尝试配置 Splunk 以正确解析 W3C 日志格式的字段。

现在,我遇到了配置混乱:在哪里以及如何指定如何拆分日志格式?

我的 Inputs.conf 如下所示:

[monitor://C:\WINDOWS\system32\LogFiles\W3SVC98989898]
disabled = false
host = mywebsite.net
sourcetype = iis

我尝试将其添加到我的 sourcetypes.conf:

[iis_w3c_default]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

但使用 ths 作为源类型无法提取任何有意义的字段。

我想我只是不了解 Splunk 所做的一切......

一旦我完成了这项工作,我计划用新字段重新索引我的所有数据(这本身就是一种考验)。

我真的非常想喜欢 Splunk,但是配置实在太不稳定了……

答案1

您可以使用转换来过滤以 # 开头的行。

在 props.conf 中(您只需在现有设置下添加额外的行):

[iis_w3c_default]
TRANSFORMS-blacklist-hash = iis_blacklist_hash

在 transforms.conf 中:

[iis_blacklist_hash]
REGEX = ^#
DEST_KEY = queue
FORMAT = nullQueue

答案2

这是我所做的:

等\系统\本地\ props.conf:

[iis_w3c_default]
REPORT-foobar=iis_w3c_default_extractions

等\系统\本地\transforms.conf:

[iis_w3c_default_extractions]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

一旦我弄清楚如何删除带有“#”符号的行,我就会更新。

相关内容