Splunkを使用していくつかのサーバからIISログファイルを解析しています。すべてのサーバが同じフィールド設定をIISに持ち、すべてのサーバが同じバージョンのWindows 2003サーバを実行しています。しかし、splunkは、それらのログファイルのソースタイプを "iis"または "iis-2"または "iis-3"にタグ付けします...同じサーバからでもです。私はパターンを見つけることができないようです。すべてのログファイルに同じタイプのタグを付けるにはどうすればいいですか?splunkでIISログファイルを解析する
別の質問は、いくつかのログファイルでは、splunkが自動的にクエリ文字列フィールドのすべてのキー/値を抽出しますが、一部のログファイルは抽出しません...私はクエリ文字列のキー/値索引時には検索時間中にすばやく表示されます。
誰でもお手伝いしますか?
おかげ
IISログをSplunkのは非常に簡単ですが、あなたは(あなたがログフォーマットを変更することができるので)ログがでているどのような形式にそれを伝える必要があります。ここにあなたのための例があります。 inputs.confで
(ローカルの\ inputs.conf \ $ SPLUNK_HOME \ ETC \システム)、このようなスタンザを追加:props.confで
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
($ SPLUNK_HOME \ ETC \ SYSTEM \ローカルの\ props.conf)、このようにスタンザを追加します。
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
最後に、我々は次のように$ SPLUNK_HOME \ ETC \ SYSTEM \ローカルの\ transforms.conf)であるtransforms.confで2つの変換を(定義する必要があります:
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
mswin_2008r2_iis_fieldsの形式は、IISログファイルの先頭から取得されます。これは、Windows Server 2008 R2の既定のIISログについて(うまくいけば)明らかです。場所と形式はバージョンごとに変更されていますが、ホスト単位で場所と形式の両方を変更することもできます。これらの設定ファイルの詳細については
、マニュアルを参照してください - 自由に利用できるhttp://docs.splunk.com
でSplunkがSplunkの中で「sourcetypes」と呼ばれる、データソースの多くの種類を自動認識し、あなたがSplunkの教えていない場合特定の「ソースタイプ」を使用すると、新しいソースタイプを作成し、それが一致すると思うソースタイプに基づいて名前を付けます。
異なる可能性のあるソースタイプをまとめてこの機能を防止するために、Splunkは、一連の番号を付加した新しいソースタイプを作成します。 これは、「iis-2」「iis-3」などが表示されている理由です。 新しいデータ入力を作成するとき、データと一致する場合は「iis」ソースタイプを選択するか、どんな "あなたのデータのソースタイプ。
これは説明されているように動作するためにインデックスが存在する必要があるようです。私はインデックスmsexchangeを作成しなければならなかったが、私はそれがiisまたは何かと呼ばれるものを作ることがより有益であると仮定する。 –