Grok_正则表达式

最新推荐文章于 2024-04-09 13:54:14 发布
最新推荐文章于 2024-04-09 13:54:14 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: Grok,正则表达式 文章标签: 正则表达式 Grok
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AngusDavis/article/details/77921358
版权

Grok的正则表达式,虽然不是太全,但是已经可以满足日志分析的需求。

转载请说明出处,谢谢。

如果有错误请指出,谢谢。

#----------------------------------------------------------------------------------------------------------------------------------------------------------------------

#DavisDing

#2017-09-10

#第一版

名字例子正则表达式
IPV4null(?<![0-9])(?:(?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2}))(?![0-9])
IPV6 null((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4}|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:)))(%.+)?
IPnull(?:%{IPV6:UNWANTED}|%{IPV4:UNWANTED})
域名null(?:[a-zA-Z0-9]{1,62}(\.[a-zA-Z0-9]{1,62})\.(cn|com|net))
时间匹配12/Jan/2017:15:39:12 +0800(?:\[[01][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2} \+\d{4}\])
URLnull(?:(http|ftp|https):\/\/[\w\-_]+(\.[\w\-_]+)+([\w\-\.,@?^=%&amp;:/~\+#]*[\w\-\@?^=%&amp;/~\+#])?)
null
hostnull(?:[a-zA-Z0-9]{1,62}(\.[a-zA-Z0-9]{1,62})\.(cn|com|net))
nullnull(?:.*)
nullnull(?:\d+)
collect timenull(?:[012][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2})
MZ55null(?:\+\d{4})
http_methodhttp方法(?:\w{3,8})
urlnull(?:/[\\A-Za-z0-9$.+!*'(){},~:;=@#% \[\]_<>^\-&?]*)+
protocolnull(?:\w{2,8}/.*)
statusnull(?:[1-5][01][0-9])
client request size客户请求大小(?:\d+)
collect timenull(?:[012][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2})
nullnull(?:\w+)
nullnull(?:.+/[1-9]{1,2}\.[0-9]{1,2})
dst portnull(?:[1-9]\d{1,5})
USERNAMEnull[a-zA-Z0-9._-]+
INTnull(?:[+-]?(?:[0-9]+))
BASE10NUM十进制,数字和小数(?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))
QuotedString有引号字符串(?>(?<!\\)(?>"(?>\\.|[^\\"]+)+"|""|(?>'(?>\\.|[^\\']+)+')|''|(?>`(?>\\.|[^\\`]+)+`)|``))
HostNamenull\b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b)
MONTH英月份\b(?:Jan(?:uary)?|Feb(?:ruary)?|Mar(?:ch)?|Apr(?:il)?|May|Jun(?:e)?|Jul(?:y)?|Aug(?:ust)?|Sep(?:tember)?|Oct(?:ober)?|Nov(?:ember)?|Dec(?:ember)?)\b
MONTHDAY一月的天数(?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
DAY英 天(?:Mon(?:day)?|Tue(?:sday)?|Wed(?:nesday)?|Thu(?:rsday)?|Fri(?:day)?|Sat(?:urday)?|Sun(?:day)?)
YEAR(?>\d\d){1,2})
HOUR时间,小时(?:2[0123]|[01]?[0-9])
MINUTE时间,分(?:[0-5][0-9])
SECOND时间,秒(?:(?:[0-5]?[0-9]|60)(?:[:.,][0-9]+)?)
Timenull(?!<[0-9])%{HOUR:UNWANTED}:%{MINUTE:UNWANTED}(?::%{SECOND:UNWANTED})(?![0-9])
commonmacmac(?:(?:[A-Fa-f0-9]{2}:){5}[A-Fa-f0-9]{2})
windowsmacmac(?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2})
ciscomacmac(?:(?:[A-Fa-f0-9]{4}\.){2}[A-Fa-f0-9]{4})
word任意单词\b\w+\b
data数据 , 任意单词.*
uuidnull[A-Fa-f0-9]{8}-(?:[A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}
time2016-09-08 11:13:19,864,毫秒%{YEAR:UNWANTED}-%{MONTHNUM:UNWANTED}-%{MONTHDAY:UNWANTED}[T ]%{HOUR:UNWANTED}:?%{MINUTE:UNWANTED}(?::?%{SECOND:UNWANTED}),?%{NUMBER:UNWANTED}
timeyyyy-mm-dd  21:24:30%{YEAR:UNWANTED}-%{MONTHNUM:UNWANTED}-%{MONTHDAY:UNWANTED}[T ]%{HOUR:UNWANTED}:?%{MINUTE:UNWANTED}(?::?%{SECOND:UNWANTED})
number数字引用base10num(?:%{BASE10NUM:UNWANTED})
date usnull%{MONTHNUM:UNWANTED}[/-]%{MONTHDAY:UNWANTED}[/-]%{YEAR:UNWANTED}
date eunull%{MONTHDAY:UNWANTED}[./-]%{MONTHNUM:UNWANTED}[./-]%{YEAR:UNWANTED}
timemm/dd/yy 16:17:57 CST%{DATE:UNWANTED} %{TIME:UNWANTED} %{TZ:UNWANTED}
tzcst(?:[PMCE][SD]T|UTC)
datenull%{DATE_US:UNWANTED}|%{DATE_EU:UNWANTED}
time时分秒,16:17:57(?!<[0-9])%{HOUR:UNWANTED}:%{MINUTE:UNWANTED}(?::%{SECOND:UNWANTED})(?![0-9])
OTHER DATEAug 21 23:58:56 10.195.157.179%{MONTH:UNWANTED} %{MONTHDAY:UNWANTED} %{TIME:UNWANTED}
no have不要,不引用?:
UNWANTED未知,可做keyUNWANTED

AngusDavis
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
grok自定义正则匹配
soso的博客
12-23 2406
前言 今天看到有人问logstash往es里面塞日志数据时,配置文件应该怎么写,并贴了一段日志记录和想保留的字段,这里简单介绍下配置文件里grok里自定义正则相关。 正文 首先,grok本身就以为预定义了很多正则表达式提供使用,附上链接: https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns 确实需要自定义的可以按照 (?<>()) 的格式自己写正则,举例: 匹配
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1592
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstash的grok插件作为日志解析工具,如何自定义正则表达式来匹配字符
最新发布
天草二十六
04-09 1223
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
grok 正则
chenzl的专栏
10-17 1193
环境 centos 7.2 JDK 11 logstash 7.4 rpm logstash rpm安装,参见Logstash RPM安装 语法 grok的正则,是在通用的正则基础上,加了正则表达的名称(变量名),这样就可以在其他的正则里调用了; 通用的正则,参见正则表达式 grok调用正则的语法为 %{PATTERN_NAME} %{PATTERN_NAME:OUTPUT_FIELD_NAM...
Grok常用正则表达式(日常记录)
qq_20283263的博客
01-20 2156
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+ EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]...
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1463
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其的value值并以制表符分割,方便后续存储在HDFS并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github.com/jrxfive/groktoregex 用法 一旦构建 groktoregex 只需要...
Java正则表达式
06-01
超级详细的Java正则表达式,包括普通规则,Group规则,以及Grok
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
nginx的正则表达式,logstash用
12-10
nginx的正则表达式,logstash用。grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。
Grok常用表达式
zhangsaho的博客
12-06 5061
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 ...
Logstash grok匹配时间戳
weixin_40133285的博客
03-17 3706
Logstash grok 匹配时间戳 网络设备、安全设备、操作系统、数据库管理系统、业务应用时间戳 常见时间戳类型 | 表达式 | 名称 | 匹配例子| |--|--|--| |DATE_US| 美国时间 | 10-01-1892、10/01/1892/ | | DATE_EU | 欧洲日期格式 | 01-10-1892、01/10/1882、01.10.1892 | |ISO8601_TIMEZONE | ISO8601时间格式 | +10:23、-1023 | | TIMESTAMP_ISO8601
ELK logstash的grok 自带的正则匹配、自定义正则 使用
夏已微凉、
09-27 5669
一、使用1、查看 grok 自带的正则2、语法3、使用1)、Sample Data2)、Grok Pattern3)、Custom Patterns4)、结果5)、正则讲解二、在线测试1、在线Grok Debug工具,Grok校验|调试2、Kibana调试三、logstash配置文件1、配置文件输入2、自定义正则生效 一、使用 1、查看 grok 自带的正则 ELK logstash的grok 自带的正则匹配 2、语法 需要提取出字段名 %{官方定义的正则名或者自定义的正则名:从日志提取出来的字.
【ELK】grok正则匹配
没枕头我咋睡觉
01-27 1626
1、Grok简介: grok是logstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
ELKlogstash下的grok正则表达式总结
热门推荐
shunzi1046的博客
12-01 2万+
首先,我的web项目打印的日志是这样的: 2016-11-30 11:10:44,568 INFO [org.springframework.web.servlet.DispatcherServlet] - 这样的格式是由于我使用的是log4j.properties配置的是 # Pattern to output: date priority [category] - message l
logstash + grok 正则语法
weixin_33883178的博客
11-03 346
详细正则规则参考: 正则语法规则 例: 日志格式如下 [vclound][2015-11-03 03:35:50,283][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new...
grok规则常用表达式
weixin_34247155的博客
05-18 3084
grok规则常用表达式● USERNAME 或 USER用户名,由数字、大小写及特殊字符(._-)组成的字符串比如:1234、Bob、Alex.Wong等● EMAILLOCALPART电子邮件用户名部分,首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=:)组成的字符串。注意,国内的QQ纯数字邮箱账号是无法匹配的,需要修改正则比如:stone、Gary_Lu、...
Grok正则表达式
weixin_42315182的博客
03-13 1941
grok的正则在线调试:http://grokdebug.herokuapp.com 官方地址:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns 参考地址:http://www.net-add.com/a/zidonghuayunwei/rizhifenxi/2018/0717/7...
\\W_正则 Java
07-28
正则表达式是一种用于匹配字符串模式的工具。在Java,可以使用正则表达式来进行字符串的匹配和处理。引用\[1\]的代码展示了使用Grok相关类处理正则表达式的示例。在这个示例,首先需要定义一个匹配式,然后使用GrokCompiler类进行编译和注册。接下来,可以使用Grok类的match方法对字符串进行匹配,并使用capture方法获取匹配结果。最后,可以将匹配结果以键值对的形式输出。 引用\[2\]提到了使用Grok的优势和一些注意事项。Grok预定义了很多针对日志内容的匹配式,可以方便地进行规则抽取。抽取结果可以自动形成键值对,方便后续的处理操作。然而,正则表达式的一个致命缺点是如果一行包含多个可匹配结果,Grok只会返回第一个匹配结果,不会继续向前匹配。 引用\[3\]给出了一个正则表达式的规则示例。该规则需要匹配的内容是在多个a或零个a后面有个b,并且b必须为最后一个字符。例如,使用数据"aaaaab"进行匹配结果为true,而使用数据"abc"进行匹配结果为false。 总结来说,Java正则表达式可以通过Grok相关类进行处理,可以方便地进行字符串的匹配和处理。同时,需要注意正则表达式的一些特性和注意事项。 #### 引用[.reference_title] - *1* *2* [Java正则引擎_正则优化_grok使用](https://blog.csdn.net/qq_39380838/article/details/102498506)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Java_正则表达式&时间日期](https://blog.csdn.net/qq_42221826/article/details/85241225)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值