Splunk: как я извлекаю поля из расширенного формата W3C
Это кажется немного нечетным мне; эффективно Вы вынуждаете весь свой внутренний трафик поразить Ваше устройство NAT, получить NATted и затем быть переданным обратно через интерфейс LAN внутреннему серверу. В зависимости от того, сколько параллельных внутренних пользователей Вы ожидаете, это могло закончить тем, что вызвало Вас проблемы производительности, как Вы закончите тем, что использовали и ЦП и память на Вашем устройстве NAT. Это могло потенциально иметь отрицательный эффект на оба Ваших исходящих доступа в Интернет из офиса, а также входящий доступ для удаленных пользователей.
Когда Ваш офис растет, стоило бы следить за Вашей производительностью маршрутизатора/брандмауэра. Если Вы начинаете испытывать проблемы соединений (отбрасывание пакетов, отказался от соединений), то переключение Ваших внутренних клиентов назад к использованию IP LAN может быть полезным шагом.
Можно отфильтровать строки, начинающиеся с # с помощью преобразования.
В props.conf (можно просто добавить дополнительную строку ниже существующей установки):
[iis_w3c_default]
TRANSFORMS-blacklist-hash = iis_blacklist_hash
В transforms.conf:
[iis_blacklist_hash]
REGEX = ^#
DEST_KEY = queue
FORMAT = nullQueue
Вот то, что я сделал:
etc\system\local\props.conf:
[iis_w3c_default]
REPORT-foobar=iis_w3c_default_extractions
etc\system\local\transforms.conf:
[iis_w3c_default_extractions]
DELIMS = " "
FIELDS = "date", "time", "cs-method", "cs-uri-stem", "cs-uri-query", "cs-username", "c-ip", "cs-version", "cs(User-Agent)", "cs(Referer)", "sc-status", "sc-bytes"
Обновит, после того как я выясняю, как удалить строки, которые имеют "#" символ в них.