logstash 的grok 正则匹配URL

已于 2023-12-04 16:10:03 修改
阅读量310 收藏
点赞数
分类专栏: 大数据 文章标签: es
于 2023-10-19 17:01:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHENYANG123/article/details/133929946
版权

官方文档

https://github.com/logstash-plugins/logstash-patterns-core/blob/main/patterns/ecs-v1/grok-patterns

需求数据:

[27/Sep/2023:14:07:18 +0800] 2409:8929:1240:992c:c036:fd71:fc30:a3d1 - 2471 "-" "POST https://3g.xxx.com/xxx/xxx/xxx/new/getAvPrice?APPTYPE=iPhone&APPVERSION=4.4.5&DEVICEALIAS=161a3797c8e0d5852b7&DEVICEID=fdb4973e88851a051be886faac3d9c42&DEVICETYPE=iPhone14,2&IDFA=00000000-0000-0000-0000-000000000000&ITVERSION=OLD&LANGTYPE=zh-Hans&PUSHTOKEN=37DF37ADE8BB1468810D069156C94C1A65F89975F32DB83038AE443CE441C310&REGISTRATIONID=161a3797c8e0d5852b7&SYSTEMVERSION=16.4.1&appversion=4.4.5&diviceid=fdb4973e88851a051be886faac3d9c42&ec=11KDcHE7gtysCnAT6ajT+FaxjcMSx+uApYBbkRtqeGBGm4GoC+0liMkVdtUMsWbUeoC217sORX8Xjyc6nVZD71ERX&lang=zh&os=IOS&osversion=16.4.1&secType=ijm&timeZone=GMT+8:00&token=N&type=MOBILE" 200 1428 687194 -,DYNAMIC|CHARGE|NOTLAST "CSMBP-AppStore-Package/4.4.5 (iPhone; iOS 16.4.1; Scale/3.00)" "application/json;charset=UTF-8"

Grok 模式

\[%{HTTPDATE:time_local}\] %{IPORHOST:ip} \- %{NUMBER:v1} %{QS:v2} \"(?:%{WORD:method} %{URL:url})%{GREEDYDATA:v3}

自定义模式

URL (http(s)?:\/\/)?%{URIHOST:domain_name}%{URIPATH:uripath}

结果

{
  "method": "POST",
  "ip": "2409:8929:1240:992c:c036:fd71:fc30:a3d1",
  "time_local": "27/Sep/2023:14:07:18 +0800",
  "uripath": "/xxx/xxx/xxx/new/getAvPrice",
  "url": "https://3g.xxx.com/xxx/xxx/xxx/new/getAvPrice",
  "domain_name": "3g.xxx.com",
  "v1": "2471",
  "v2": "\"-\"",
  "v3": "?APPTYPE=iPhone&APPVERSION=4.4.5&DEVICEALIAS=161a3797c8e0d5852b7&DEVICEID=fdb4973e88851a051be886faac3d9c42&DEVICETYPE=iPhone14,2&IDFA=00000000-0000-0000-0000-000000000000&ITVERSION=OLD&LANGTYPE=zh-Hans&PUSHTOKEN=37DF37ADE8BB1468810D069156C94C1A65F89975F32DB83038AE443CE441C310&REGISTRATIONID=161a3797c8e0d5852b7&SYSTEMVERSION=16.4.1&appversion=4.4.5&diviceid=fdb4973e88851a051be886faac3d9c42&ec=11KDcHE7gtysCnAT6ajT+FaxjcMSx+uApYBbkRtqeGBGm4GoC+0liMkVdtUMsWbUeoC217sORX8Xjyc6nVZD71ERX&lang=zh&os=IOS&osversion=16.4.1&secType=ijm&timeZone=GMT+8:00&token=N&type=MOBILE\" 200 1428 687194 -,DYNAMIC|CHARGE|NOTLAST \"CSMBP-AppStore-Package/4.4.5 (iPhone; iOS 16.4.1; Scale/3.00)\" \"application/json;charset=UTF-8\""
}

调试工具Kibana

自定义正则生效配置

如何使我们自定义的正则生效呢,在logstash 目录下搜索文件 grok-patterns,在文件末尾追加自定义的内容(名字不能与已有的名字重复),重启服务生效。 

logstash-7.14.2/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.3.1/patterns/legacy

logstash-7.14.2/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.3.1/patterns/ecs-v1

logstash 配置文件

filter {

 grok {
    match => {
       "message" => "\[%{HTTPDATE:time_local}\] %{IPORHOST:ip} \- %{NUMBER:v1} %{QS:v2} \"(?:%{WORD:method} %{URL:url})%{GREEDYDATA:v3}"
   
       }
  }
  
 date {

    match => [ "time_local", "dd/MMM/yyyy:HH:mm:ss Z" ]

    timezone => "UTC"
    target => "@timestamp"


}


}

CHENYANG123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Logstash数据处理服务的过滤插件Grok正则匹配概念以及正则语法
江晓龙的博客
07-13 882
收集来的日志往往都是非结构的日志,当然也可以通过配置将日志输出成结构化日志,Nginx就支持将日志输出成结构化的功能,但是很多一些开源软件是不支持将日志结构化的,针对这种需求,我们就可以使用正则将日志数据输出成功格式化数据。Grok正则插件是作用通过正则表达式将非结构的日志输出成结构化的日志,便于我们在kibana上对日志数据进行筛选。使用Grok正则匹配配置之前,需要对正则表达式有一定的基础。Grok插件自带了一些内置的正则匹配模式,将常用的一些匹配表达式(获取IP、文本字符串、请求URL、数字)写入到了
logstashgrok插件作为日志解析工具,如何自定义正则表达式来匹配字符
天草二十六
04-09 1255
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
logstash判断是否匹配_logstash 正则表达式
weixin_39708557的博客
12-20 547
正则表达式3. 使用给定好的符号去表示某个含义4. 例如.代表任意字符5. 正则符号当普通符号使用需要加反斜杠正则的发展6. 普通正则表达式7. 扩展正则表达式普通正则表达式. 任意一个字符* 前面一个字符出现0次或者多次[abc] 中括号内任意一个字符[^abc] 非中括号内的字符[0-9] 表示一个数字[a-z] 小写字母[A-Z] 大写字母[a-zA-Z] 所有字母[a-zA-Z0-9]...
ELK logstashgrok 自带的正则匹配、自定义正则 使用
夏已微凉、
09-27 5727
一、使用1、查看 grok 自带的正则2、语法3、使用1)、Sample Data2)、Grok Pattern3)、Custom Patterns4)、结果5)、正则讲解二、在线测试1、在线Grok Debug工具,Grok校验|调试2、Kibana中调试三、logstash配置文件1、配置文件输入2、自定义正则生效 一、使用 1、查看 grok 自带的正则 ELK logstashgrok 自带的正则匹配 2、语法 需要提取出字段名 %{官方定义的正则名或者自定义的正则名:从日志中提取出来的字.
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github....
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
logstash-filter-grok-4.0.4.zip
01-15
为了确保 Grok 过滤器能正确匹配日志,Logstash 提供了一个称为 `grokdebugger` 的工具,可以在线测试模式。此外,`grokpathtester` 插件也可在本地环境进行调试。 6. **效率与优化** 大量使用 Grok 可能会降低 ...
logstash判断是否匹配_Logstash自带正则表达式
weixin_39876645的博客
12-20 151
USERNAME [a-zA-Z0-9._-]+USER%{USERNAME}INT (?:[+-]?(?:[0-9]+))BASE10NUM (?[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))NUMBER (?:%{BASE10NUM})BASE16NUM (?BASE16FLOAT \b(?POSINT \b(?:[1-9][0-9]*)\bNON...
logstash匹配正则做判断,正则表达式的写法
weixin_45583482的博客
11-25 1587
笔者在使用logstash做日志解析的时候,需要根据日志源(source字段)来进行判断,以何种格式进行解析。 此时source字段来源非常多,比如a,b, c,在此之下有分为很多种日志,如1,2,3.此时我的source就有 a1,a2,a3,b1,b2,b3,c1,c2,c3,如果我现在只想解析1这种类型的日志,而且我不知到之后还会引入多少个源。那么采用正则匹配来判断是必然的了。 正则表达式写法如下 1 首先得在首尾叫上’/’,表示这是个正则 如 [a] =~ /****/ 2 接下是几个常用的写法 x
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2761
文章目录前言一、grok-patterns二、自定义grok-patterns(正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 796
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
使用Logstash过滤插件Grok实现多模式匹配
江晓龙的博客
07-13 1869
一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。grok多模式语法格式: 1)首先编写正则表达式分别匹配出两个数据的字段 2)配置logstash使用grok多模式匹配 成功的将两种不同类型
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 1902
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
【ELK】grok正则匹配
没枕头我咋睡觉
01-27 1641
1、Grok简介: groklogstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
logstash匹配路径字段
zsx18273117003的博客
05-27 1064
方法一:使用grok插件 1. d:/usr2/local/etc/logstash/pipeline1目录下logstash.conf配置文件 input { stdin { } } filter { grok { # 匹配路徑 /usr/share/filebeat/log/apps/butler/filebeat5.log中的butler match => {message => "^/%{DATA}/%{DATA}/%{DATA
轻松掌握Logstashgrok匹配
全菜工程师小辉的博客
03-16 7338
Logstash的filter插件在7.5.1版本中,有多达46种。介绍filter插件的官网地址,感兴趣的话可以自行研究,点此跳转 本文主要讲解filter插件中的grok。通过在filter中使用grok,可以把日志中的关键字快速匹配出来。 grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。 Grok Debugger在线匹配正则 推荐一款在线匹配正则的网站——Grok Debu...
ELK logstashgrok 自带的正则匹配
夏已微凉、
09-27 1595
一、前言1、说明2、示例二、grok自带正则1、说明2、内容 一、前言 1、说明 当我们通过logstash把日志写进 eslogstash(默认)会把我们的每行日志记录当成一条记录,这条记录的字段名为message,如果我们想要从日志中提取出需要的字段,就要用到正则匹配了。 2、示例 日志记录如下 [2020-09-26 08:34:41] 127.0.0.1 GET local.test.com:8010/index/index/test?name=张三&id=9 0.412191 .
logstash通过正则匹配文件
最新发布
04-16
Logstash是一个源的数据收集、处理和输工具,可以通过正则表达式匹配文件内容。下面是通过Logstash使用正则表达式匹配文件的步骤: 1. 配置Logstash:首先需要在Logstash的配置文件中定义输入和输出。输入可以是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值