Splunkを使用していくつかのサーバーからIISログファイルを解析しています。すべてのサーバーでIISに同じフィールドが設定されており、すべてのサーバーで同じバージョンのWindows2003サーバーが実行されています。ただし、同じサーバーからでも、これらのログファイルのソースタイプを「iis」、「iis-2」、または「iis-3」にsplunkタグ付けします。パターンが見つからないようです。splunkがすべてのログファイルに同じタイプのタグを付けるようにするにはどうすればよいですか?
別の質問は、一部のログファイルでは、splunkがクエリ文字列フィールドのすべてのキー/値を自動的に抽出するのに対し、一部のログファイルでは抽出しないことです...インデックス時にクエリ文字列のキー/値を解析するためにsplunkが必要ですそのため、検索時間中は高速になります。
誰か助けますか?
ありがとう
IISログは非常に簡単に分割できますが、ログの形式を指定する必要があります(ログ形式を変更できるため)。これがあなたのための例です。
input.conf($ SPLUNK_HOME \ etc \ system \ local \ inputs.conf)に、次のようなスタンザを追加します。
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
props.conf($ SPLUNK_HOME \ etc \ system \ local \ props.conf)に、次のようなスタンザを追加します。
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
最後に、transforms.conf($ SPLUNK_HOME \ etc \ system \ local \ transforms.confにあります)で2つのトランスフォームを次のように定義する必要があります。
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
mswin_2008r2_iis_fieldsの形式は、IISログファイルの先頭から取得されます。これは(うまくいけば)Windows Server2008R2のデフォルトのIISログ用です。場所と形式はバージョンごとに変更されています。さらに、ホストごとに場所と形式の両方を変更できます。
これらの構成ファイルの詳細については、ドキュメントを参照してください。http://docs.splunk.comから無料で入手できます。
Splunkは、Splunkでは「ソースタイプ」と呼ばれる多くの種類のデータソースを自動認識します。使用する特定の「ソースタイプ」をSplunkに指定しない場合、新しいソースタイプが作成され、どのソースタイプと見なされるかに基づいて名前が付けられます。一致します。
この機能が異なる可能性のあるソースタイプをひとまとめにするのを防ぐために、Splunkは連続番号が追加された新しいソースタイプを作成します。そのため、「iis-2」「iis-3」などが表示されます。新しいデータ入力を作成するときに、データと一致する場合は「iis」ソースタイプを選択するか、新しい「iis-whatever」を作成する必要があります。データのソースタイプ。