[Splunk 應用技巧] Controlling the IIS Source Type

過去由於 IIS 不同版本會有不同的日誌格式，加上又可以自行調整記錄的欄位，因此 Splunk 在收 IIS Logs 時能夠識別 IIS ，但是 SourceType 會出現 "iis-1", "iis-2" 等多種 source type ，最近資安公司 Hurricane Labs 就整理了一篇 blog ，說明他們如何處理與整理這些多變的 IIS logs ，並且讓 Splunk 乖乖的把 IIS Logs 吞進去，然後用簡單而一致的方式使用這些 Logs ....