我有来自客户的ews日志,应该以logstash解析。我无法理解ews日志的格式,也无法找到有关其日志格式的一些文档。我在此处粘贴其中一个日志。我更改了一些信息,同时保持格式不变。谁能向我解释每个字段的含义以及“ 、、、、、”的含义吗?甚至指向适当的文档资料也会对您有所帮助。
2018-09-12T20:26:21.564Z,764e05a7-7adf-4a1b-a32d-32ccb2134947,15,1,1415,2,未知,,谈判,真实,sdfgsdg @ asdasd.com,asdasd.com,OC /16.0.8431.2270 (Skype for 业务),目标=无;要求= Exchange2012 / Exchange2013;,192.168.85.52,MPEXMBX2,OCEXMBX1.asdasd.COM,GetStreamingEvents,200,924,,sdfgsdg @ asdasd.com ,, 3b4df7c98d6f479b9f662923b0047f0c-fa8-b8d0-c 3dc67847fa3d,PrimaryServer,LocalTask,0,0,0,0,0 ,,,,,,,,,,,,,,,,,,,,, [C],0,0,0,0,0 ,,, 1 ,0,0,4,0,5,,SKU =未知; App_BeginReq_Start = 0; App_BeginReq_End = 0; GetHandler_Start = 1; RequestHandler = Wcf; GetHandler_End = 1; BackEndAuthenticator = WindowsAuthenticator; TotalBERehydrationModuleLatency = 0; CSCWTI = 0; CSCWTI = 0; cpn = RUM_ABR / RUM_ABRC / ABR / APAR / EWS_CE / EWS_CEC / APSRH / APRHE / RUM_AER / RUM_AERC / AER / AERC /; cpv = 0/0/0/0/1/4/5/5/6/6 /6/6/6/;MailboxTypeCacheSize=106855;S:AspDispatchLatency.BeginRequest=0;S:ADRS.InclI=1;S:AspDispatchLatency.EndRequest=0;S:ADRS.Check=00;S:ServiceTaskMetadata.WatsonReportCount= 0; S:WLM.Bal = 300000; S:ServiceTaskMetadata.ServiceCommandBegin = 4; S:ServiceTaskMetadata.ServiceCommandEnd = 4; S:ActivityStandardMetadata.Component = Ews; S:WLM.BT = Ews; S:EwsMetadata.HttpHandlerGetterLatency = 0; Dbl:WLM.TS = 5; Dbl:CC pu.T [CMD] = 0; Dbl:BudgUse.T [] = 1.00339996814728 ,,, 2018-09-12T20:26:21.557Z,4436,381836456,383018760,380853_30701_838,380853_30701_838 ,,,,,, 、、、、
我想解析每个字段,为此,我需要知道每个字段的名称(例如client_ip,source_ip,transaction_id等)
答案 0 :(得分:0)
至于“,,,,”,表示在一个或多个站点中搜索Exchange服务器。
默认设置是脚本正在运行的当前站点。
您可以使用逗号分隔来定义多个站点。默认表示正在运行脚本的计算机的站点。
参考: https://ingogegenwarth.wordpress.com/2017/01/12/troubleshooting-exchange-with-logparser-ews-logs/
您可以尝试使用PowerShell解析日志。