Я запускаю стек ELK и передаю ему все свои журналы Windows из nxlog, и у меня проблема именно с журналами IIS. В nxlog я запускаю это в файле nxlog.conf
<Extension w3c>
Module xm_csv
Fields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $sc-status, $sc-substatus, $sc-win32-status, $time-taken
FieldTypes string, string, string, string, string, string, string, string, string, string, string, string, string, string
Delimiter ' '
UndefValue -
</Extension>
Я не запускаю синтаксический анализ logstash, и когда они появляются в elasticsearch/kibana, я получаю этот гигантский вывод сообщений,
{"message":"2015-10-19 22:17:26 10.10.10.10 GET javascriptScript.js - 443 - 10.10.10.10 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET4.0C;+.NET4.0E;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729) 200 0 0 31\r","@version":"1","@timestamp":"2015-10-19T22:19:08.061Z","host":"10.10.10.10","type":"WindowsEventLog","tags":["_jsonparsefailure"]}
Я хочу иметь возможность проанализировать это сообщение и получить все соответствующие данные. Похоже, должна быть возможность проанализировать журнал iis через nxlog, а затем передать информацию json в elasticsearch. Но я не уверен, что это то, что я должен делать на стороне nxlog или на стороне logstash. Все, на что я смотрел, использует одно и то же расширение w3c, но нет тонны данных, которые я мог бы просмотреть, используя как nxlog, так и logstash для анализа журналов IIS.