Logstash Grok解析日志数据

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量2.5k 收藏 5
点赞数
文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jerry_wo/article/details/107937902
版权

Grok 是一个十分强大的 Logstash Filter 插件,它可以通过正则解析任意文本,将非结构化日志数据格式转换为结构化的、方便查询的结构。它是目前 Logstash 中解析非结构化日志数据最好的方式。

Grok 的语法规则是:
这里的 “语法” 指的是匹配模式,例如,使用 NUMBER 模式可以匹配出数字,IP 模式则会匹配出 127.0.0.1 这样的 IP 地址。比如按以下格式输入内容:

172.16.213.132 [16/Jun/2020:16:24:19 +0800] "GET / HTTP/1.1" 403 5039

那么,
• %{IP:clientip} 匹配模式将获得的结果为:clientip: 172.16.213.132
• %{HTTPDATE:timestamp} 匹配模式将获得的结果为:timestamp: 16/Jun/2020:16:24:19 +0800
• %{QS:referrer} 匹配模式将获得的结果为:referrer: “GET / HTTP/1.1”
到这里为止,我们已经获取了上面输入中前三个部分的内容,分别是 clientip、timestamp 和 referrer 三个字段。如果要获取剩余部分的信息,方法类似。

在线调试 Grok,可点击这里进行在线调试,非常方便。

下面是一个组合匹配模式,它可以获取上面输入的所有内容:

%{IP:clientip}\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}

正则匹配是非常严格的匹配,在这个组合匹配模式中,使用了转义字符 \,这是因为输入的内容中有空格和中括号。

通过上面这个组合匹配模式,我们将输入的内容分成了 5 个部分,即 5 个字段。将输入内容分割为不同的数据字段,这对于日后解析和查询日志数据非常有用,这正是我们使用 grok 的目的。

Logstash 默认提供了近 200 个匹配模式(其实就是定义好的正则表达式)让我们来使用,可以在 Logstash 安装目录下找到。例如,我这里的路径为:

/usr/local/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns

此目录下有定义好的各种匹配模式,基本匹配定义在 grok-patterns 文件中。从这些定义好的匹配模式中,可以查到上面使用的四个匹配模式对应的定义规则。

除此之外,还有很多默认定义好的匹配模式文件,比如 httpd、java、linux-syslog、redis、mongodb、nagios 等,这些已经定义好的匹配模式,可以直接在 Grok 过滤器中进行引用。当然也可以定义自己需要的匹配模式。

在了解完 Grok 的匹配规则之后,下面通过一个配置实例深入介绍下 Logstash 是如何将非结构化日志数据转换成结构化数据的。首先看下面的一个事件配置文件:

input{
stdin{}
}
filter{
grok{
match => ["message","%{IP:clientip}\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]
}
}
output{
stdout{
codec => "rubydebug"
}
}

在这个配置文件中,输入配置成了 stdin,在 filter 中添加了 grok 过滤插件,并通过 match 来执行正则表达式解析,中括号中的正则表达式就是上面提到的组合匹配模式,然后通过 rubydebug 编码格式输出信息。这样的组合有助于调试和分析输出结果。通过此配置启动 Logstash 进程后,我们仍然输入之前给出的那段内容:

172.16.213.132 [16/Jun/2020:16:24:19 +0800] "GET / HTTP/1.1" 403 5039

然后,查看 rubydebug 格式的日志输出,内容如下:

{
     "timestamp" => "16/Jun/2020:16:24:19 +0800",
      "response" => "403",
         "bytes" => "5039",
      "@version" => "1",
      "clientip" => "172.16.213.132",
          "host" => "nnmaster.cloud",
      "referrer" => "\"GET / HTTP/1.1\"",
       "message" => "172.16.213.132 [16/Jun/2020:16:24:19 +0800] \"GET / HTTP/1.1\" 403 5039",
    "@timestamp" => 2020-06-16T07:46:53.120Z
}

从这个输出可知,通过 Grok 定义好的 5 个字段都获取到了内容,并正常输出了。

Jerry_wo
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 796
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的... 然后使用各种模式根据系统日志中的“程序”字段解析消息。 任何未解析的内容都将带有标签“syslog_message_unparsed”。
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1303
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
日志解析神器——Logstash中的Grok过滤器使用详解
铭毅天下Elasticsearch
01-23 2000
0、引言在处理日志数据时,我们经常面临将非结构化文本转换为结构化数据的挑战。Logstash 作为一个强大的日志管理工具,提供了一个名为 Grok 的过滤器插件,专门用于解析复杂的文本数据。后文会解读,功能远不止于此......关于 Grok 过滤器插件,咱们之前有过两篇文章讲解:1、干货 | Logstash自定义正则表达式ETL实战2、干货 | Logstash Grok数据结构化ETL实战G...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Logstash日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3191
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
日志linux日志过滤器,使用Logstashgrok过滤日志文件
weixin_35874254的博客
05-07 492
可以使用Logstashgrok模块对任意文本解析并结构化输出。Logstash默认带有120中匹配模式。可以参见源代码logstash/patterns/grok-patternslogstash/lib/logstash/filters/grok.rbgrok的语法格式为%{SYNTAX:SEMANTIC}SYNTAX是文本要匹配的模式,例如3.14匹配 NUMBER 模式,127.0.0...
logstash-filter-grok:Grok插件可将非结构化(日志数据解析为结构化的内容
05-07
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用...
vsftpd-grok-patterns:用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式
07-06
包含的 Logstash 配置文件需要消息字段中的 vsftpd 日志数据,当您使用 Logstash 的syslog输入接收 vsftpd 日志记录时,这是开箱即用的。 测试 在test/目录中,有一个测试套件试图确保以前支持的日志行不会因为...
Grok:深入解析日志数据的强大工具.zip
03-19
用户可以自定义Grok模式,或者使用Logstash预定义的模式库来解析日志。 2. Elasticsearch:作为流行的搜索引擎和数据分析平台,Elasticsearch的Ingest Node也可以使用Grok Processor进行日志解析,从而将非结构化的...
Grok:深入解析日志数据的强大工具
03-20
它是Logstash最重要的插件之一,通过正则匹配的方式,Grok能够高效地处理和分析日志数据Grok的灵活性在于它支持自定义模式。除了使用预定义的模式外,用户还可以根据日志的具体格式创建自定义模式。这种灵活性...
logstash 处理各种时间格式
weixin_30767835的博客
10-22 1148
tomcat access日志: { "@version" => "1", "@timestamp" => "2016-10-22T12:58:07.000Z", "path" => "/data01/applog_backup/zjzc_log/zj-api-access01.2016-10-2...
Logstash匹配日志日期
weixin_33895475的博客
03-09 954
案例日志格式: | - | 08/Mar/2018:03:31:14 +0800匹配配置文件:input { stdin { }} filter {grok {match => [ "message", "%{USER} | %{USER} | %{HTTPDATE:timestamp}"]}date {match => [ "timestamp", "dd/MMM/YYYY:...
【ELK】logstash通过配置文件对日志时间格式更改
没枕头我咋睡觉
11-10 982
input { file { #ModSecurity审计日志的存放位置,请根据实际情况进行修改 path => ["/var/log/modsec_audit.log"] start_position => "beginning" } } filter{ json{ source => "message" remove_field => ["message"] } #以下到filter节点结束的内容,是为了将ModSecurit.
elk-logstash 读取日志(2): messages和log日志生成时间替换时间戳
qq_33834493的博客
05-20 1198
目前日志: 2021-05-20 14:26:34.817 [http-nio-9031-exec-9] INFO com.abutment.producer.RocketMqHelper.sendMessage - >>>>生产者发送topic为: dispatch_topic msgId: AC1188CD08496B884D5764F234ACDB4E tag: GID_91610000786990367Y 2021-05-20 14:26:34.817 [http-n...
ELK(日志系统)——logstash数据采集+Syslog输入插件+grok/多行过滤插件
qq_46089299的博客
06-13 2045
一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、数据存储以及各种 AWS
Logstash——使用Logstash过滤器(filter)从事件中提取数据
热门推荐
大风的博客
05-17 1万+
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器根据规则提取数据 Logstash涉及提取数据主要是下面几个 date过滤器:获得时间格式的数据 extractnumbers过滤器:从字符串中提取数字 grok过滤器:使用grok格式提取数据中的指定内容 这里我简单的介绍下几个过滤器.
logstash grok 解析Nginx
06-07
好的,我可以为您解析如何使用LogstashGrok插件来解析Nginx日志。首先,您需要安装LogstashGrok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response} %{NUMBER:bytes} \"%{DATA:referrer}\" \"%{DATA:agent}\"" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } } ``` 在这个配置文件中,我们使用file输入插件来读取Nginx的访问日志,然后使用Grok插件来解析每条日志Grok插件中的match字段指定了一个正则表达式,用来匹配Nginx日志的格式,例如上面的正则表达式可以匹配下面这样一条日志: ``` 127.0.0.1 - - [02/Jan/2020:10:00:00 +0800] "GET /index.html HTTP/1.1" 200 1234 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" ``` 最后,我们使用elasticsearch输出插件将解析后的日志存储到Elasticsearch中,以便后续进行数据分析和可视化。您可以根据自己的需求,修改配置文件中的字段名和输出格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值