如何解决使用Splunk阅读Squid access.log
我正在尝试使用鱿鱼access.log网络流量的结果创建一个Splunk仪表板。 我的问题是,我无法使用access.log的结果进行搜索,例如:
2020-10-17 15:41:37 86 192.168.1.41 NONE / 200 0 CONNECT twitter.com:443-HIER_DIRECT / 104.244.42.193-“ Mozilla / 5.0(Macintosh; Intel Mac OS X 10.15; rv:81.0 )Gecko / 20100101 Firefox / 81.0“” SQUID-CS“ 209-
您对我如何对这些结果进行正则表达式或拆分有何建议?我只想获取目标URL(twitter.com)。
我有一个鱿鱼索引和一个鱿鱼源类型... fyi。
任何提示都值得赞赏!
非常感谢!
解决方法
鱿鱼源类型的props.conf
设置是什么?他们将帮助我们确定为什么您没有提取的字段。如果在props.conf中没有源类型的任何内容,请使用access_combined
(在$ SPLUNK_HOME / etc / system / default / props.conf中找到)作为模型进行创建。
要使用正则表达式仅提取URL,请尝试以下命令。
... | rex "CONNECT (?<URL>[^:]+)"
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。