Splunk Search

how to use Extracting fields from Microsoft Internet Authentication Service (IAS) APP?

jimzzhou
Engager

Since there is no documentation how to use this APP, I would like to know how to set it up and getting data in? Do I need to set up a splunkUniversalForwarder in my IAS server or else?

Tags (1)
0 Karma

jimzzhou
Engager

I am getting data in but they are all garble messages. I am using NPS not IAS. Do I need to modify the Pros.conf and transforms.com codes?

this is the log format.

"HEAP","IAS",11/12/2012,00:00:39,1,"SSAGadmin","ERN\SSAGadmin","00-90-0B-0A-9D-A4:NGSTV224","84-4B-F5-5C-21-35",,,,"172.20.166.15",2050,0,"172.20.166.15","Wireless APs",,,19,"CONNECT 802.11g",,,5,,0,"311 1 fe80::819c:f313:6bc7:f05c 10/24/2012 01:00:02 3624203",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Noc_Admin_Access",1,,,,
"HEAP","IAS",11/12/2012,00:00:39,3,,"ERN\SSAGadmin",,,,,,,,0,"172.20.166.15","Wireless APs",,,,,,,5,,8,"311 1 fe80::819c:f313:6bc7:f05c 10/24/2012 01:00:02 3624203",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Noc_Admin_Access",1,,,,

This is the splunk ias output message.
-splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00heap\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x1\x00\x00\x00\x13__s2s_capabilities\x00\x00\x00\x00\x14ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00\x5_raw\x00

0 Karma

jimzzhou
Engager

All right, I got it running. thank you a bunch!

0 Karma

DaveSavage
Builder

I should add...'on your forwarder' 😉
Not sure if you know or realised this from the postings above...but make your changes to a version in the local folder so as to ensure a) its persistent even throughout updates / upgrades, and b) thats your space.

0 Karma

DaveSavage
Builder

jimzzhou - what you are looking at there is 'cooked' data. If you would prefer to see it native then just add or edit the exisitng line in your outputs.conf to sendCookedData=False
Br
D

0 Karma

tgow
Splunk Employee
Splunk Employee

This App does need some documentation. The App is looking for data that has a sourcetype of "ias" and builds field extractions for you. Make sure that you assign the sourcetype to your data in the Manager-->Data Inputs or in the inputs.conf file. Here is an examples:

[monitor://C:\Program Files\ias\logs] # your path will be different and you might be using a Forwarder
sourcetype = ias

Now when you look in the /ias/default directory there is a props.conf and transforms.conf file. The props.conf is looking for any data that has a sourcetype=ias and the transforms.conf is creating the field extractions.

After enabling this App and making sure that your sourcetype is set to ias then you should have additional field extractions as "Interesting fields" in Splunk.

Get Updates on the Splunk Community!

Optimize Cloud Monitoring

  TECH TALKS Optimize Cloud Monitoring Tuesday, August 13, 2024  |  11:00AM–12:00PM PST   Register to ...

What's New in Splunk Cloud Platform 9.2.2403?

Hi Splunky people! We are excited to share the newest updates in Splunk Cloud Platform 9.2.2403! Analysts can ...

Stay Connected: Your Guide to July and August Tech Talks, Office Hours, and Webinars!

Dive into our sizzling summer lineup for July and August Community Office Hours and Tech Talks. Scroll down to ...