- Splunk Answers
- :
- Using Splunk
- :
- Splunk Search
- :
- how to use Extracting fields from Microsoft Inter...
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
how to use Extracting fields from Microsoft Internet Authentication Service (IAS) APP?
Since there is no documentation how to use this APP, I would like to know how to set it up and getting data in? Do I need to set up a splunkUniversalForwarder in my IAS server or else?
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
I am getting data in but they are all garble messages. I am using NPS not IAS. Do I need to modify the Pros.conf and transforms.com codes?
this is the log format.
"HEAP","IAS",11/12/2012,00:00:39,1,"SSAGadmin","ERN\SSAGadmin","00-90-0B-0A-9D-A4:NGSTV224","84-4B-F5-5C-21-35",,,,"172.20.166.15",2050,0,"172.20.166.15","Wireless APs",,,19,"CONNECT 802.11g",,,5,,0,"311 1 fe80::819c:f313:6bc7:f05c 10/24/2012 01:00:02 3624203",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Noc_Admin_Access",1,,,,
"HEAP","IAS",11/12/2012,00:00:39,3,,"ERN\SSAGadmin",,,,,,,,0,"172.20.166.15","Wireless APs",,,,,,,5,,8,"311 1 fe80::819c:f313:6bc7:f05c 10/24/2012 01:00:02 3624203",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Noc_Admin_Access",1,,,,
This is the splunk ias output message.
-splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00heap\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x1\x00\x00\x00\x13__s2s_capabilities\x00\x00\x00\x00\x14ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00\x5_raw\x00
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
All right, I got it running. thank you a bunch!
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
I should add...'on your forwarder' 😉
Not sure if you know or realised this from the postings above...but make your changes to a version in the local folder so as to ensure a) its persistent even throughout updates / upgrades, and b) thats your space.
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
jimzzhou - what you are looking at there is 'cooked' data. If you would prefer to see it native then just add or edit the exisitng line in your outputs.conf to sendCookedData=False
Br
D
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
This App does need some documentation. The App is looking for data that has a sourcetype of "ias" and builds field extractions for you. Make sure that you assign the sourcetype to your data in the Manager-->Data Inputs or in the inputs.conf file. Here is an examples:
[monitor://C:\Program Files\ias\logs] # your path will be different and you might be using a Forwarder
sourcetype = ias
Now when you look in the /ias/default directory there is a props.conf and transforms.conf file. The props.conf is looking for any data that has a sourcetype=ias and the transforms.conf is creating the field extractions.
After enabling this App and making sure that your sourcetype is set to ias then you should have additional field extractions as "Interesting fields" in Splunk.
Extending Observability Content to Splunk Cloud
More Control Over Your Monitoring Costs with Archived Metrics!
New in Observability Cloud - Explicit Bucket Histograms
