1. дома
  2. Вопрос и ответ
  3. Разбивка всплесков Локальный файл IIS

Разбивка всплесков Локальный файл IIS

2012-02-06 3 views
2

Я использую Splunk для анализа лог-файлов IIS с нескольких серверов, все серверы имеют одинаковые настройки полей в IIS и на всех серверах, работающих на той же версии сервера Windows 2003. Однако splunk тег sourcetype этих файлов журнала на «iis» или «iis-2» или «iis-3» ... даже с того же сервера. Кажется, я не могу найти шаблон. Как убедиться, что splunk tag все logfile одного типа?Разбивка всплесков Локальный файл IIS

Другой вопрос заключается в том, что для некоторых логфайлов splunk автоматически извлекает все ключ/значение в полях запроса, а не для некоторых лог-файлов ... Я хотел бы иметь splunk для анализа ключа/значения querystring во время индекса, поэтому он будет быстрым во время поиска.

кому помощь?

Благодаря

источник

2012-02-06 Henry

ответ

4

журналы IIS очень легко Splunk, но вы должны сказать ему, какой формат журналы находятся в (так как вы можете изменить формат журнала). Вот вам пример.

В inputs.conf ($ SPLUNK_HOME \ и т.д. \ система \ Local \ inputs.conf), добавьте строфу, как это:

[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log] 
sourcetype=MSWindows:2008R2:IIS 
queue=parsingQueue 
index=msexchange 
disabled=false

В props.conf ($ SPLUNK_HOME \ Etc \ система \ Local \ props.conf), добавьте строфу, как это:

[MSWindows:2008R2:IIS] 
TZ = GMT 
SHOULD_LINEMERGE = false 
CHECK_FOR_HEADER = false 
REPORT-fields = mswin_2008r2_iis_fields 
TRANSFORMS-comments = ignore_comments

Наконец, нам необходимо определить два преобразования в transforms.conf (который находится в $ SPLUNK_HOME \ и т.д. \ система \ Local \ transforms.conf) следующим образом :

[ignore_comments] 
REGEX = ^#.* 
DEST_KEY = queue 
FORMAT = nullQueue 

[mswin_2008r2_iis_fields] 
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken" 
DELIMS = " "

Формат mswin_2008r2_iis_fields берется из верхней части файла журнала IIS. Это (надеюсь, очевидно) для журналов IIS по умолчанию из Windows Server 2008 R2. Местоположение и формат изменились с версии на версию, а также вы можете изменить расположение и формат на основе каждого узла.

Для получения дополнительной информации об этих файлах конфигурации смотрите в документации - свободно распространяемый на http://docs.splunk.com

источник

2012-04-04 17:18:00

+0

Кажется, что индекс должен существовать, чтобы это работало, как описано. Мне нужно было создать индекс msexchange, но я предполагаю, что было бы более полезно создать один из них iis или что-то еще ... –

0

Splunk будет автоматически распознавать многие виды источников данных, называемые «sourcetypes» в Splunk, и если вы не говорите Splunk который конкретный «sourcetype» используется, он создаст новый тип sourcetype и назовет его на основе того, какой тип surcetype он считает совпадающим.
Чтобы не допустить, чтобы эта функция совпадала с sourcetypes, которые могут быть разными, Splunk создаст новый sourctype с добавленным последовательным номером. Вот почему вы видите «iis-2» «iis-3» и т. Д. Вы должны выбрать «iis» sourcetype при создании новых входов данных, если они соответствуют вашим данным, или создать новый «iis- независимо от "sourcetype для ваших данных.

источник

2015-01-30 22:52:31

 Смежные вопросы

  • Нет связанных вопросов^_^