Log-Files

Splunk:如何從 W3C 擴展格式中提取欄位

  • February 25, 2010

我正在嘗試配置 Splunk 以正確解析 W3C 日誌格式的欄位。

現在,我遇到了配置混亂:我在哪里以及如何指定如何拆分日誌格式?

我的 Inputs.conf 看起來像這樣:

[monitor://C:\WINDOWS\system32\LogFiles\W3SVC98989898]
disabled = false
host = mywebsite.net
sourcetype = iis

我嘗試將其添加到我的 sourcetypes.conf 中:

[iis_w3c_default]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

但是使用 ths 作為源類型無法提取任何有意義的欄位。

我想我只是不了解 Splunk 所做的一切……

一旦我完成了這項工作,我計劃用新欄位重新索引我的所有數據(這將是一個磨難本身)。

我真的,真的很想喜歡 Splunk,但配置太不穩定了……

您可以使用轉換過濾以 # 開頭的行。

在 props.conf 中(您可以在現有設置下方添加額外的行):

[iis_w3c_default]
TRANSFORMS-blacklist-hash = iis_blacklist_hash

在 transforms.conf 中:

[iis_blacklist_hash]
REGEX = ^#
DEST_KEY = queue
FORMAT = nullQueue

這是我所做的:

等\系統\本地\道具.conf:

[iis_w3c_default]
REPORT-foobar=iis_w3c_default_extractions

等\系統\本地\transforms.conf:

[iis_w3c_default_extractions]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"

一旦我弄清楚如何刪除其中包含“#”符號的行,就會更新。

引用自:https://serverfault.com/questions/72340