web-dev-qa-db-ja.com

IIS nxlogを使用してLogstashにログを記録

IIS logstashダイジェストのためにEventTimeフィールドにログインする日付+時刻フィールドを結合しようとしています。これは私のnxlog.confファイルです:

<Input iis1>
  #drop comment lines, join the date+time fields into an EventTime field, convert to json
    Module      im_file
    File 'C:\inetpub\logs\LogFiles\W3SVC2\u_ex*.log'
    ReadFromLast TRUE
    Exec        if $raw_event =~ /^#/ drop();                    \
                else                                             \
                {                                                \
                    w3c->parse_csv();                            \
                    $EventTime = parsedate($date + " " + $time); \
                    to_json ();                                  \
                }
</Input>

これは私が得るエラーです:

2013-07-22 06:11:29 ERROR if-else failed at line 51, character 391 in C:\Program Files (x86)\nxlog\conf\nxlog.conf. statement execution has been aborted; procedure 'parse_csv' failed at line 51, character 228 in C:\Program Files (x86)\nxlog\conf\nxlog.conf. statement execution has been aborted; invalid modifier: '-'

日付と時刻のフィールドを他にどのように処理できるかわかりません。代替案や提案は大歓迎です。ありがとう!

iislogginglogstashnxlog
1
David Vasandani

w3c xm_csvモジュールインスタンスのFieldTypesintegerがある可能性があります。残念ながら、ダッシュ '-'を処理できず、整数としての解析に失敗します。

ダッシュがデータがないことを意味することがわかるように、CSVオプションにUndefValueを追加する必要があります。

<Extension w3c>
    Module      xm_csv
    Fields  $date $time $s-sitename $s-computername $s-ip $cs-method $cs-uri-stem $cs-uri-query $s-port $cs-username $c-ip $cs-version $cs-user-agent $cs-cookie $cs-referer $cs-Host $sc-status $sc-substatus $sc-win32-status $sc-bytes $cs-bytes $time-taken
    Delimiter   ' '
    QuoteChar   '"'
    EscapeControl FALSE
    UndefValue  -
</Extension>
3
b0ti