IISログをSplunkのは非常に簡単ですが、あなたは(あなたがログフォーマットを変更することができるので)ログがでているどのような形式にそれを伝える必要があります。ここにあなたのための例があります。 inputs.confで
(ローカルの\ inputs.conf \ $ SPLUNK_HOME \ ETC \システム)、このようなスタンザを追加:props.confで
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
($ SPLUNK_HOME \ ETC \ SYSTEM \ローカルの\ props.conf)、このようにスタンザを追加します。
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
最後に、我々は次のように$ SPLUNK_HOME \ ETC \ SYSTEM \ローカルの\ transforms.conf)であるtransforms.confで2つの変換を(定義する必要があります:
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
mswin_2008r2_iis_fieldsの形式は、IISログファイルの先頭から取得されます。これは、Windows Server 2008 R2の既定のIISログについて(うまくいけば)明らかです。場所と形式はバージョンごとに変更されていますが、ホスト単位で場所と形式の両方を変更することもできます。これらの設定ファイルの詳細については
、マニュアルを参照してください - 自由に利用できるhttp://docs.splunk.com
これは説明されているように動作するためにインデックスが存在する必要があるようです。私はインデックスmsexchangeを作成しなければならなかったが、私はそれがiisまたは何かと呼ばれるものを作ることがより有益であると仮定する。 –