Logstash过滤插件Filter使用

最新推荐文章于 2024-07-17 13:20:15 发布
置顶 最新推荐文章于 2024-07-17 13:20:15 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: # ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN877425287/article/details/108912627
版权

前言

在之前一篇文章中关于Logstash安装使用已经演示过读写的功能了,Logstash不单是对数据进行读取和输出的功能,另一个强大的功能就是对数据的清洗,也就是俗称的过滤,那么此篇文章就是介绍Logstash使用Grok来进行对数据的清洗过滤!

Grok介绍

grok是用正则表达式来捕获关键数据的,grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便车查询的结构,他是目前logstash中解析非结构化日志数据最好的方式。
Grok的语法规则

%{语法:语义}

语法是指匹配的模式,例如使用NUMBER模式就可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址
如:输入的内容为127.0.0.1 [07/Feb/2020:16:24:19 +0800] “GET /HTTP /1.1” 430 5039
那么使用%{IP:clientip}匹配模式将获得的结果为:clientip:127.0.0.1
那么使用%{HTTPDATE:timestamp}匹配模式将获得结果为:timestamp:07/Feb/2020:16:24:19 +0800
那么使用%{QS:referrer}匹配模式将获得的结果为:referrer:“GET /HTTP /1.1”
这些匹配模式定义模板是存放在/logstash-6.5.4/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns
在这里插入图片描述
这里有一些常用的软件的匹配模式,其中grok-patterns是最基础的匹配模式,查看一下里面是啥
在这里插入图片描述
也就是定义了一些正则表达式罢了!

Grok语法编写

在编写过滤脚本前,先提供一个Grok的在线语法检测工具Grok在线语法检测
在这里插入图片描述
这个网站可能比较慢,科学上网的可以用这个,不会科学上网的可以用国内的国内Grok在线语法检测效果一样的

将nginx的日志放入进去最为输入数据
192.168.0.99 - - [30/Sep/2020:10:00:01 +0000] "GET / HTTP/1.1" 200 971 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36" "-"

%{IP:clientip}

在这里插入图片描述
那么更多匹配写法演示如下
在这里插入图片描述
注意这里的一些符号问题,如空格、{}、-,这些符号需要转义一下

空格
\ 
-
\-
[
\[

否则无法匹配,通过上面的匹配演示,我们将输入的内容分成五个部分,即五个字段,将输入内容分割为不同的数据字段,这对于日后解析和查询日志非常有用,这正式使用grok的目的,Lostash默认提供近200个匹配模式,(其实也就是定义好的正则表达式)然我们来使用。

Logstash使用filter过滤数据

1.grok字段匹配

vi test-grok.conf
input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

2.启动使用test-grok.conf配置文件的Logstash

输入:
192.168.0.99 -- [30/Sep/2020:10:00:01 +0000] "GET / HTTP/1.1" 200 971 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36" "-"

在这里插入图片描述
3.排除掉不需要的字段

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	remove_field => ["message"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
4.日期格式化

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	remove_field => ["message"]
  }
  date{
	match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
	#match => [ "time","MMM  d HH:mm:ss", "MMM dd HH:mm:ss", "ISO8601"]	%{TIMESTAMP_ISO8601:time}
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
在这里插入图片描述

那么格式化后存在两个timestamp,一个为@timestamp另一个是timestamp,那么这里的@timestamp是logstash日志收集的时间,timestamp是massage中的时间,且使用date后会将timestamp的值付给@timestamp,那么此时可以将其中一个去除!

5.去除timestamp

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

这里注意:经过grok匹配后的remove_field 中不能直接将timestamp剔除否则在date中无法将timestamp的值赋予给@timestamp只能在时间替换后再将冗余的timestamp字段剔除掉!(呆了@的字段属于元数据字段,这些字段是不能被剔除的吧!)
在这里插入图片描述
那么在输出的数据中就没有两个代表时间的字段了!
6.指定字段替换内容
数据修改(mutate)可以使用gsub通过正则表达式替换字段中匹配到的值,只对字符串有效,下面演示gsub 的使用

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
匹配替换成功!
6.指定规则分割

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	#remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
	split => ["message","/"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
7.字段重命名

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	#remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
	split => ["new_message","/"]
	rename => {"message" => "new_message"}
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里不难看出mutate中的配置是存在一定的优先级的,这里重命名的优先级是高于拆分的
在这里插入图片描述
8.IP详细信息分析插件

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	#remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
	split => ["new_message","/"]
	rename => {"message" => "new_message"}
  }
  geoip{
    source => "clientip"
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
提取部分geoip产生的数据

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
	#remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
	split => ["new_message","/"]
	rename => {"message" => "new_message"}
  }
  geoip{
    source => "clientip"
	fields => ["city_name","region_name","country_name","ip","longitude","timezone"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
9.匹配任何内容

input{
  stdin{}
}
filter{
  grok{
	match => ["message","%{IP:clientip}\ \-\-\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}\ %{GREEDYDATA:oth1}\ %{GREEDYDATA:oth2}\ %{GREEDYDATA:oth3}"]
	#remove_field => ["message"]
  }
  date{
    match => ["timestamp","dd/MMM/yyyy:HH:mm:ss Z"]
  }
  mutate{
	remove_field => ["timestamp"]
	gsub => ["host", "master","yyy"]
	split => ["new_message","/"]
	rename => {"message" => "new_message"}
  }
  geoip{
    source => "clientip"
	fields => ["city_name","region_name","country_name","ip","longitude","timezone"]
  }
}
output{
  stdout{codec=>"rubydebug"}
}

在这里插入图片描述
这里就任意匹配了其他的一些字段

程序员劝退师-TAO
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Logstash filter使用
m0_56342013的博客
06-18 1133
Logstash filter使用
Logstash常用的filter四大插件
2402_83805984的博客
07-06 1178
自定义正则匹配格式:(?自定义的正则表达式)可以自定义为。
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1331
Logstash三个组件的第二个组件,也是真个Logstash工具最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段...
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash-filter
Beal的博客
08-28 360
input plugin 插入插件logstash可以读取特定的事件源。 stdin 标准输入 file   读取文件   file{ path => ['/var/log/nginx/access.log'] #要输入的文件路径 type => 'nginx_access_log' start_position => "beginnin...
logstash配置文件filter方法介绍
最新发布
qq_37647812的博客
07-17 820
logstash配置文件filter方法介绍
logstash-filter-java:通过实现Java接口编写logstash过滤
05-20
本篇将详细介绍如何通过实现Java接口来编写自定义的Logstash过滤器。 首先,我们需要理解Logstash过滤器的工作原理。Logstash过滤插件遵循特定的生命周期,主要包括初始化、事件处理和关闭三个阶段。在Java,...
Logstash ruby 插件 demo
04-05
- `lib/logstash/filter/demo.rb`: 这是一个过滤插件的示例,添加了自定义过滤规则。 - `lib/logstash/output/demo.rb`: 这是一个输出插件的示例,实现了新的数据输出方式。 每个文件都包含一个 Ruby 类,继承自...
logstash-filter-jdbc_streaming:可以使用数据库的数据丰富事件的 Logstash 过滤
05-30
JDBC 流过滤插件已移动 这个 JDBC Streaming Filter Plugin 现在是的一部分; 在可能的情况下,该项目仍对该项目的修复向后移植到 5.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动...
logstash-filter-varnishlog:一个logstash过滤插件,读取按ID分组的varnishlog
02-10
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是可以以任何方式使用。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc...
logstash-filter-dedupe:Redis的重复数据删除过滤
05-17
注意:正在进行,大多数def暂时不起... 接下来,您需要使用/opt/logstash/bin/plugin -install logstash-filter-dedupe 最后,将过滤器添加到您的logstash配置filter { dedupe { keys => ["keys", "to", "h
logstash-filter模块
小胡子
05-14 194
Fillters 在Logstash处理链担任间处理组件。他们经常被组合起来实现一些特定的行为来,处理匹配特定规则的事件流。常见的filters如下: grok:解析无规则的文字并转化为有结构的格式。Grok 是目前最好的方式来将无结构的数据转换为有结构可查询的数据。有120多种匹配规则,会有一种满足你的需要。 mutate:mutate filter 允许改变输入的文档,你可以从命名,删除,移动或者修改字段在处理事件的过程。 drop:丢弃一部分events不进行处理,例如:debug event
Logstash过滤filter插件
xc0309的博客
07-17 481
grok、date、mutate、multiline
Logstash Filter 配置
云淡风轻
07-15 2593
笔者这里仅仅列出配置文件,在研究之后最红并没有采用在logstash的接下日志为json的做法。而是将json的输出放在了各个服务/应用处理, spring boot的app可以参考:logstash-logback-encoderinput { beats { port => 5044 } } filter { #If log line contains tab charac
Logstash——使用Logstash过滤器(filter)从事件提取数据
热门推荐
大风的博客
05-17 1万+
Logstash 支持不同的数据源头,在数据从源头到目标的过程Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器根据规则提取数据 Logstash涉及提取数据主要是下面几个 date过滤器:获得时间格式的数据 extractnumbers过滤器:从字符串提取数字 grok过滤器:使用grok格式提取数据的指定内容 这里我简单的介绍下几个过滤器.
logstashfilter配置
老柴菜鸟
04-20 7145
前一篇我们已经学会了logstash-input-file插件用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
Logstash Filter学习
Remoa的休闲茶馆
09-11 2880
1、Filter介绍: 2、示例操作: 3、官方提供模式:
Logstash——Logstash过滤器(filter)解析不同格式的数据
大风的博客
05-12 5296
Logstash 支持不同的数据源头,在数据从源头到目标的过程Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对不同格式数据的处理 Logstash涉及对不同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译成JSON格式 kv 解析键值对的数据 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员劝退师-TAO

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值