Журналы IIS очень легко разбить на части, но вы должны указать, в каком формате они хранятся (поскольку вы можете изменить формат журналов).Вот пример для вас.
В файле input.conf ($ SPLUNK_HOME \ etc \ system \ local \ input.conf) добавьте раздел, подобный этому:
[monitor://C:\inetpub\logs\LogFiles\W3SVC1\*.log]
sourcetype=MSWindows:2008R2:IIS
queue=parsingQueue
index=msexchange
disabled=false
В подпорках.conf ($ SPLUNK_HOME \ etc \ system \ local \ props.conf), добавьте следующий раздел:
[MSWindows:2008R2:IIS]
TZ = GMT
SHOULD_LINEMERGE = false
CHECK_FOR_HEADER = false
REPORT-fields = mswin_2008r2_iis_fields
TRANSFORMS-comments = ignore_comments
Наконец, нам нужно определить два преобразования в transforms.conf (который находится в $ SPLUNK_HOME\ etc \ system \ local \ transforms.conf) следующим образом:
[ignore_comments]
REGEX = ^#.*
DEST_KEY = queue
FORMAT = nullQueue
[mswin_2008r2_iis_fields]
FIELDS = "date","time","s_ip","cs_method","cs_uri_stem","cs_uri_query","s_port","cs_username","c_ip","cs_user_agent","sc_status","sc_substatus","sc_win32_status","time_taken"
DELIMS = " "
Формат полей mswin_2008r2_iis_fi берется из верхней части файла журнала IIS.Это (надеюсь, очевидно) для журналов IIS по умолчанию из Windows Server 2008 R2.Расположение и формат менялись от версии к версии, плюс вы можете изменять как расположение, так и формат для каждого хоста.
Для получения дополнительной информации об этих файлах конфигурации см. Документацию - в свободном доступе на http://docs.splunk.com