Каким будет шаблон Grok для следующих журналов сервера IIS?

Question

У меня есть следующие журналы сервера IIS: -

2018-09-16 06:19:25 W3SVC10 webserver 107.6.166.194 GET /axestrack/homepagedata/ uname=satish5633&pwd=5633&panelid=1 80 - 117.225.237.56 HTTP/1.1 Dalvik/2.1.0+(Linux;+U;+Android+6.0.1;+vivo+1606+Build/MMB29M) - - vehicletrack.biz 200 0 0 883 224 4

Я попробовал следующее: -

%{TIMESTAMP_ISO8601:logtime} %{WORD:s-sitename} %{WORD:s-computername} %{IPORHOST:s-ip} %{WORD:cs-method

Но после cs-метода я не знаю, как написать шаблон grok для извлечения оставшихся полей. Как написать шаблон Grok для следующего: -

API_NAME : /axestrack/homepagedata/
API_PARAMETRES : uname=satish5633&pwd=5633&panelid=1
PORT : 80
CS-USERNAME : -(Can be hyphen or username)
CLIENT-IP : 117.225.237.56

Answer 1

Попробуйте это:

%{TIMESTAMP_ISO8601:logtime} %{WORD:s-sitename} %{WORD:s-computername} %{IPORHOST:s-ip} %{WORD:cs-method} %{URIPATH:API_NAME} %{NOTSPACE:API_PARAMETRES} %{NUMBER:PORT} %{NOTSPACE:CS_USERNAME} %{IPORHOST:CLIENT_IP} %{NOTSPACE:protocolVersion} %{NOTSPACE:userAgent} %{NOTSPACE:cookie} %{NOTSPACE:referer} %{NOTSPACE:requestHost} %{NUMBER:response} %{NUMBER:subresponse} %{NUMBER:win32response} %{NUMBER:bytesSent} %{NUMBER:bytesReceived} %{NUMBER:timeTaken}