过滤Splunk上的访问日志

问题描述

SplunkForwarder用于提供Apache对Splunk的访问日志(或由DevOps告知)。 AFAIK无法根据给定的regEx(我要解决 ISSUE )过滤掉日志。正在考虑在Apache上添加一个触发器,如果​​该请求的URL模式在白名单中,它将拦截所有请求并向Splunk发送消息(发现Splunk http事件收集器-以前从未使用过-闻起来像是解决方案的一部分) 。 试图找到有关如何使用mod_actions模块的正确示例。不幸的是,没有找到对我有用的东西。 Apache的文档没有用。不知道mod_actions是否是我唯一的选择。 请问我如何为每个请求执行py / sh / pl或其他脚本? DevOps可能不允许我向Apache添加任何奇特的(非标准)模块。 非常感谢。

解决方法

完全有可能基于正则表达式过滤日志。您将需要一个索引器上的应用程序,以根据通用转发器上的 inputs.conf 中定义的源类型进行过滤。

下面提供的

props.conf / transforms.conf组合仅保留包含字符串 Error Warning 的日志行,而所有其他消息将发送到nullqueue(已删除)

$ SPLUNK_HOME $ / etc / apps / your_app / local / props.conf $ SPLUNK_HOME $ / etc / apps / your_app / local / transforms.conf

props.conf

[your_sourcetype]
TRANSFORMS-set = setnull,setparsing

transforms.conf

# This sends all events to be ignored
[setnull] 
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue

# this says ignore all events,except the ones containing ERROR
[setparsing]
REGEX = Error|Warning
DEST_KEY = queue
FORMAT = indexQueue

[your_sourcetype1]
TRANSFORMS-set = setnull,setparsing

[your_souretype2]
TRANSFORMS-set = setnull,setparsing

解锁查看全部内容

付费后查看完整内容
限时 微信扫码支付 ¥9.9 19.9

编程问答相关问答

在 CSS 中设置 cellpadding 和 cellspacing?
如何在 Java 中创建内存泄漏?
浮点数被破坏了吗?
按字符串属性值对对象数组进行排序
如何加快Android模拟器的速度?
如何舍入至多 2 位小数?
使用 Git 版本控制查看文件的更改历史记录
如何在 JavaScript 中检查空/未定义/空字符串?
微信公众号搜索 “ 程序精选 ” ,选择关注!
微信公众号搜 "程序精选"关注