使用 Splunk 阅读 Squid access.log
Read Squid access.log with Splunk
我正在尝试使用我的 squid access.log 网络流量的结果创建一个 Splunk 仪表板。
我的问题是,我无法使用 access.log 的结果进行任何搜索,例如:
2020-10-17 15:41:37 86 192.168.1.41 NONE/200 0 连接 twitter.com:443 - HIER_DIRECT/104.244.42.193 - "Mozilla/5 .0 (Macintosh;英特尔 Mac OS X 10.15;rv:81.0) Gecko/20100101 Firefox/81.0" "SQUID-CS" 209-
您对我如何对这些结果进行正则表达式或拆分结果有什么建议吗?我只想到达目的地 URL (twitter.com).
我有一个鱿鱼索引和一个鱿鱼来源类型...仅供参考。
如有任何提示,我们将不胜感激!
非常感谢!
squid sourcetype 的 props.conf 设置是什么?它们将帮助我们确定您没有提取字段的原因。如果您在 props.conf 中没有任何源类型,请使用 access_combined(在 $SPLUNK_HOME/etc/system/default/props.conf 中找到它)创建一些作为模型。
要使用正则表达式仅提取 URL,请尝试此命令。
... | rex "CONNECT (?<URL>[^:]+)"
我正在尝试使用我的 squid access.log 网络流量的结果创建一个 Splunk 仪表板。 我的问题是,我无法使用 access.log 的结果进行任何搜索,例如:
2020-10-17 15:41:37 86 192.168.1.41 NONE/200 0 连接 twitter.com:443 - HIER_DIRECT/104.244.42.193 - "Mozilla/5 .0 (Macintosh;英特尔 Mac OS X 10.15;rv:81.0) Gecko/20100101 Firefox/81.0" "SQUID-CS" 209-
您对我如何对这些结果进行正则表达式或拆分结果有什么建议吗?我只想到达目的地 URL (twitter.com).
我有一个鱿鱼索引和一个鱿鱼来源类型...仅供参考。
如有任何提示,我们将不胜感激!
非常感谢!
squid sourcetype 的 props.conf 设置是什么?它们将帮助我们确定您没有提取字段的原因。如果您在 props.conf 中没有任何源类型,请使用 access_combined(在 $SPLUNK_HOME/etc/system/default/props.conf 中找到它)创建一些作为模型。
要使用正则表达式仅提取 URL,请尝试此命令。
... | rex "CONNECT (?<URL>[^:]+)"