ELK分析IIS日志

配置Logstash处理IIS日志
最新推荐文章于 2025-03-23 23:30:47 发布
转载 最新推荐文章于 2025-03-23 23:30:47 发布 · 543 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/HQFZ/p/6249568.html
文章标签:

#大数据

本文介绍如何使用Logstash配置文件来处理IIS Web服务器的日志文件。通过特定的输入路径设置、过滤器及输出配置,可以实现对日志文件的有效解析,并将解析后的数据发送到Elasticsearch进行存储。

image

 

LogStash.conf

input {
  file {
    type => "iis_log"
    path => ["C:/inetpub/logs/LogFiles/W3SVC2/u_ex*.log"]
  }
}
filter {
  #ignore log comments
  if [message] =~ "^#" {
    drop {}
  }

  grok {
    # check that fields match your IIS log settings
    match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp} (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) (%{NOTSPACE:c-username}|-) (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-win32-status}|-) (%{NUMBER:time-taken}|-)"]
  }
  #Set the Event Timesteamp from the log
	date {
		match => [ "log_timestamp", "YYYY-MM-dd HH:mm:ss" ]
		timezone => "Etc/UCT"
		}
  mutate {
			remove_field => [ "log_timestamp"]
			convert => [ "sc-bytes", "float" ]
			convert => [ "cs-bytes", "float" ]
			convert => [ "time-taken", "float" ]
		}
    
  mutate {
    remove_field => [ "log_timestamp"]
	convert => [ "sc-bytes", "float" ]
    convert => [ "cs-bytes", "float" ]
    convert => [ "time-taken", "float" ]
  }

}
output {
  stdout {codec => rubydebug }
    elasticsearch {
        hosts => ["localhost:9200"]
        index => "logstash-%{type}-%{+YYYY.MM.dd}"
		flush_size => 20000
        idle_flush_time => 10
        template_overwrite => true
    }
  redis {
    host => '127.0.0.1'
    data_type => 'list'
    key => 'logstash:redis'
  }
}

转载于:https://www.cnblogs.com/HQFZ/p/6249568.html

6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog等
m0_65842464的博客
01-28 1698
自动提取日志文件的工具使用,自动分析日志的工具和脚本使用,由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具和日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。
elk日志分析平台以及数据的可视化
Forever 的博客
09-13 7971
  ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它...
ELK IIS 日志-->logstash-->ElasticSearch
weixin_30463341的博客
03-28 175
NXLOG 配置 #define ROOT C:\Program Files\nxlog define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\...
Centos6搭建elk系统,收集IIS日志
weixin_34189116的博客
04-24 482
**所需程序:Centos服务器端:java、elasticsearch、kikbanawindows客户端:IIS、logstash**一、服务器端(192.168.10.46)操作:先建立一个ELK专门的目录:[root@Cent65 ~]mkdir /elk/上传到elk目录已经下载好的JDK、elasticsearch、kibana安装包。elasticsearch-...
后渗透篇:清理windows入侵痕迹总结【详细】
Vdieoo的博客
12-03 7264
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 清理windows入侵痕迹 0x01 前言 了解为什么需要清除入侵痕迹? 一、设置跳板 二、必不可少的跳板 三、代理服务器简介 1)http代理服务器 2)Sock5代理服务器 3)VPN代理服务器 四、使用Tor隐身 了解需要删除哪些日志? 1.默认提供的日志 2.防火墙日志 3.IIS日志 4、netstat-an表示什么意思? 0x02 清除Windows日志 0x01.1异常场景解决方案 0...
logstash 抓取IIS日志文件写入Elasticsearch
weixin_30318645的博客
07-24 247
如果需要对IIS日志进行分析可以使用logstash从文件中抓取出来进行分析; 输入部分: input { file { type => "iis_log_monitor" path => ["D:/k/iislog/monitor*/W3SVC4/*.log"] start_position => "beg...
ftp身份认证时登录框反复弹出以及ftp常用配置
热门推荐
小C博客
01-17 4万+
1.若我们想访问一个人的ftp站点,直接通过浏览器直接访问就可以了(ftp://要访问主机A的IP地址)。如果对方开启了基本身份认证的话,我们就需要输入正确的用户名及密码才可正常访问,即主机A开启了基本身份认证。如下图所示: 当主机B通过浏览器访问时就会有验证提示,如下图: 当我输入正确的用户名及密码时我发现还在继续弹出登录框,导致无法正常访问主机A的FTP站点。 解决办法是
IISLog:IIS日志分析
05-21
对于IIS日志分析,有多种工具可供选择,如微软的LogParser、Splunk、ELK Stack(Elasticsearch、Logstash、Kibana)等。这些工具提供了强大的查询和可视化功能,帮助我们更有效地解析和理解日志信息。 总的来说,...
IIS日志工具
10-09
5. **结合其他工具**:IIS日志工具可以与其他监控和安全工具(如ELK Stack、SIEM系统)集成,以实现更全面的系统监控和安全防护。 总之,IIS日志工具是IT运维人员不可或缺的助手,它能够帮助我们更好地理解和改善...
Python实现IIS与Tomcat日志分析技巧
在进行IIS日志分析和Tomcat日志分析时,使用Python语言可以高效地完成这项工作。 ### IIS日志分析知识点 IIS日志文件一般记录了所有对服务器的访问信息,包括成功的访问和失败的尝试。日志文件通常位于 `%system...
把windows IIS日志导入到mysql数据库
LinBSoft的专栏
12-21 1696
IIs日志作为分析IIS性能、客户访问特征等的重要数据源,因为默认存储为文本文件,不利于分析,导入到数据库,可以利用数据库的强大SQL进行查询分析iis日志导入到数据库有两种选择,一是设置IIS日志采用ODBC直接实时存入数据库,据说会影响性能,没有采用;二是采用微软的LogParser日志分析工具,工具可以在网上免费下载。 安装后运行LogParser软件,在命令行下输入: logpa
c#读取LOG文件并解决读取提示被其他进程占用问题
weixin_30914981的博客
02-08 1514
c# 读写文件时文件正由另一进程使用,因此该进程无法访问该文件,在IO处理上遇到了无法操作的问题。 文件“C:\u_ex.log”正由另一进程使用,因此该进程无法访问该文件。 u_ex.log是一个日志文件,不定时都可能由另外的程序对它进行日志记录写入操作。 当日志文件被其他程序所占用的情况下,用下面三种方式读取情况! string url = @"C:\inetpub\logs\LogF...
ELK太重?试试KFC日志采集
erghtt的博客
05-10 996
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
玄机靶场——日志分析-IIS日志分析
最新发布
Arzum的博客
03-23 2596
用户名:server2012密码:URSZf3A。
ELK日志分析平台(三)— kibana数据可视化、kibana监控、采集日志插件filebeat
qq_43114229的博客
05-24 2511
[root@foundation50 network-scripts]# cd /mnt/pub/docs/elk/7.6/ [root@foundation50 7.6]# scp kibana-7.6.1-x86_64.rpm server4: 将安装包拷贝到server4上 [root@server4 ~]# rpm -ivh kibana-7.6.1-x86_64.rpm 安装
网络安全 (八 提权)
Aidang的博客
07-30 1224
在不知道木马密码的情况下可以在后面写上?profile=a (不一定成功) http://1.11.1.1:8000/2.asp?profile=a Windnows user (普通) administrator(管理员) system(控制) 三者不是完全包含,administrator一定包含user,system与另外两者有交集部分 Linux user root 提高执行的权限 针对...
IIS日志分析 LogParser命令 按客户端IP分组统计 保存到sql数据库中
johnsen7918的专栏
12-28 808
首先安装LogParser然后打开 当数据库中不存在表时命令如下 logparser "SELECT * FROM D:\iislog\W3SVC2\u_ex18122715.log TO IISLog_table" -o:SQL -server:192.168.19.200 -driver:"SQL Server" -database:Dzsc_Affiliated -username:log...
log文件配置服务器地址,IIS服务器配置NXLog进行syslog转发(并解决GMT+8小时时差问题)...
weixin_36431145的博客
08-05 642
NXLog是个跨平台日志传输插件,支持linux、windows平台的大部分系统日志及常见的web日志,支持tcp、udp、http(s)等协议传输。本文通过NXLog将IIS日志以syslog的形式转发至日志审计服务器。一、系统环境操作系统:Window Server2012 R2 DataCenterIIS:8.5NXLog:nxlog-ce-2.10.2150二、NXLog的整体实现原理N...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值