SB
Дмитрий Стародубцев
@butolini, так, вот и обещанные вопросы:
1) Как вы пишете IIS и Tracking log? Для IIS нужны всякие multiline, pattern и остальное форматирование, а для Tracking log нет. Я попробовал указать вот так и ничего не вышло:
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
2) При таком форматировании лог IIS пишется одной строкой в Message. Это удобно? Не надо разбивать месагу на отдельные поля, по которым можно будет фильтровать? Чтобы искать по юзеру или по IP.
1) Как вы пишете IIS и Tracking log? Для IIS нужны всякие multiline, pattern и остальное форматирование, а для Tracking log нет. Я попробовал указать вот так и ничего не вышло:
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
2) При таком форматировании лог IIS пишется одной строкой в Message. Это удобно? Не надо разбивать месагу на отдельные поля, по которым можно будет фильтровать? Чтобы искать по юзеру или по IP.
Эээ. Я только первую часть опубликовал. Парсинг в логстэше - во второй. Доступ платный сделаю 😁
