我正在尝试configurationSplunk以正确parsingW3C日志格式的字段。
现在,我遇到了configuration混乱:我在哪里以及如何指定如何分割日志格式?
我的Inputs.conf如下所示:
[monitor://C:\WINDOWS\system32\LogFiles\W3SVC98989898] disabled = false host = mywebsite.net sourcetype = iis 我试着把它添加到我的sourcetypes.conf中:
[iis_w3c_default] DELIMS = " " FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"
但是使用ths作为源types未能提取任何有意义的字段。
我想我只是没有把握Splunk正在做的一切
一旦我有这个工作,我打算重新索引我的所有数据与新的领域(这将是一个本身的考验)。
我真的很想要Splunk,但是configuration太过于笨拙…
您可以使用变换过滤以#开头的行。
在props.conf中(你可以在现有的设置下添加额外的行):
[iis_w3c_default] TRANSFORMS-blacklist-hash = iis_blacklist_hash
在transforms.conf中:
[iis_blacklist_hash] REGEX = ^# DEST_KEY = queue FORMAT = nullQueue
这是我做的:
等\ SYSTEM \本地\ props.conf:
[iis_w3c_default] REPORT-foobar=iis_w3c_default_extractions
等\ SYSTEM \本地\ transforms.conf:
[iis_w3c_default_extractions] DELIMS = " " FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"
一旦我弄清楚如何删除其中包含“#”符号的行,我将进行更新。