#splunk #squid #splunk-query
#splunk #squid #splunk-запрос
Вопрос:
Я пытаюсь создать панель управления Splunk с результатами моего доступа к squid.регистрируйте веб-трафик. Моя проблема здесь в том, что я не могу выполнить какой-либо поиск с результатами access.log, который выглядит, например, так:
2020-10-17 15:41:37 86 192.168.1.41 НЕТ / 200 0 ПОДКЛЮЧИТЬ twitter.com: 443 — HIER_DIRECT /104.244.42.193 — «Mozilla / 5.0 (Macintosh; Intel Mac OS X 10.15; rv: 81.0) Gecko / 20100101 Firefox / 81.0» «SQUID-CS» 209 —
Есть ли у вас какие-либо предложения о том, как я могу регулярно выражать или разделять результаты этих результатов? Я просто хочу получить URL-адрес назначения (twitter.com ).
У меня есть индекс squid и исходный код squid … к вашему сведению.
Любые советы приветствуются!
Большое спасибо!
Комментарии:
1. Какое из приложений Splunkbase Squid вы используете: дополнение , TA-squid или приложение ?
Ответ №1:
Каковы props.conf настройки для исходного типа squid? Они помогут нам определить, почему у вас нет извлеченных полей. Если у вас нет ничего в props.conf для исходного типа, создайте какое-нибудь использование access_combined (найдите его в $SPLUNK_HOME/etc/system/default/props.conf ) в качестве модели.
Чтобы извлечь только URL-адрес с помощью регулярного выражения, попробуйте выполнить эту команду.
... | rex "CONNECT (?<URL>[^:] )"
Комментарии:
1. Честно говоря, я сейчас изучаю Splunk и на самом деле не имею большого опыта работы с props.conf, но я обязательно посмотрю и попытаюсь найти, как настроить этот конфигурационный файл … спасибо!
2. Поскольку у меня нет установленных приложений Splunk для Squid, у меня есть только props.conf из исходной установки Splunk… Я не верю, что есть какие-либо приложения для squid, совместимые с Splunk 8.0…
3. Это приложение заявляет о совместимости с Splunk 8: splunkbase.splunk.com/app/2965 . Когда дело доходит до файлов props.conf, совместимость редко является проблемой. По крайней мере, вы можете использовать конфигурации в приложении в качестве руководства для своей собственной конфигурации.
4. Для squid существует как минимум 3 приложения, и я пробовал их много раз (несколько дней до сих пор), устанавливал, удалял, устанавливал снова и так далее… Я не могу заставить это работать, это раздражает, потому что также не так много ресурсов, чтобы знать, как настраивать такие приложения…
5. Есть несколько ключевых вещей, которые нужно знать об установке приложений. 1) Они не всегда являются ответом. Некоторые приложения работают для определенной версии продукта, но не для других. 2) В зависимости от характера приложения, оно может работать только с новыми данными, а не с уже проиндексированными данными. 3) Приложения могут быть изменены. Не стесняйтесь настраивать настройки в приложении в соответствии с вашими потребностями или данными. 4) Убедитесь, что тип источника, используемый приложением, соответствует вашим данным. Если этого не произойдет, внесите изменения.