记一次logstash解析丢失全量字段message的情况

最新推荐文章于 2024-04-17 06:49:02 发布
最新推荐文章于 2024-04-17 06:49:02 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSY929981117/article/details/107832751
版权

应用场景: kafka中存json数据,经logstash“丰富化”后,发送给es存储的过程,如果在input阶段就把数据转换为json,会造成后边处理数据的时候,无法获取全量字段(原始数据)。

input{
	 #异常登录json字符串数据
  kafka {
     group_id => "test-consumer-group"
     #如果数据在 input阶段 进行 json格式转换,后面在进行数据处理的时候将会失去 全量字段(原始信息)
     #codec => "json"
     topics => ["TOP001"]
     bootstrap_servers => ["esnode1:19092"]
     consumer_threads  => 1
     auto_offset_reset => "earliest"
     # type 是给 数据打一个标签,可以理解成 增加一个字段 type,
     #后面处理的时候可以 对type 进行判断 然后对数据做 具体的处理
     type => "alarm"
  }
}

filter{
    #在filter中 进行json转换  可以 保留全量字段(原始信息)
	json{
    	source => "message"
  	}
    if[type] == "alarm"{
        #如果data字段里 存的是 json数组 那么 可以用 split 一条event 变 多条event
	    split {
	      field => "[data]"
	    }
	    ruby {
	      code => 'event.set("sshIp", event.get("[data][sshIp]"))
	               event.set("loginDate", event.get("[data][loginDate]"))
	               event.set("logoutDate", event.get("[data][logoutDate]"))
	               event.set("userName", event.get("[data][userName]"))'
	    }
	
	    mutate {
	      #remove_field 中 只要不包含 message 字段,就可以保证 filter处理后的数据 默认 包含一个 全量字段 message
	      remove_field => ["@timestamp","@version","host","path","data","lookupResult","cmdDictRes"]
	      add_field => {"confirm" => "未确认"}
	      add_field => {"ignore" => "未忽略"}
	    }
  	}	
}

output{
	if[type] == "alarm" {
		#输出ruby处理的debug信息
    	stdout {codec => rubydebug}
	    elasticsearch{
	    	template_name => "alarm-template"
	      	hosts => ["xxx.xxx.xxx.xxx:9200"]
	      	document_type => "alarm"
	      	#动态索引 每天一个索引
	      	index => "<alarm-log-{now/d}>"
	    }
	}
}

在这里插入图片描述

Mr.差啥呀
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
logstash同步mysql到es丢失_MYSQL logstash 同步数据到es的几种方案对比以及每种方案数据丢失原因分析。...
weixin_39936134的博客
01-27 2411
MYSQL logstash 同步增量数据到ES最近一段时间,在使用mysql通过logstash-jdbc同步数据到es,但是总是会有一定程度数据丢失logstash-jdbc无非是通过sql遍历数据表的所有数据,然后同步到es。对于表里面的所有字段都需要查出来然后同步到es中去。本地测试数据表结构如下: CREATETABLE`user`(`id`bigint(20)NOTNU...
logstash es同步 部分数据丢失
随风的博客
09-25 5286
文章目录错误信息排查过程解决思路 错误信息 es,查询商品数据,没有查询到条码信息。mysql中条码信息是存在的 测试同学反馈的抓包信息。商品条码(code)不存在 排查过程 查看es中的数据,数据从identifies这个对象中获取,该对象中数据为空。这条数据上有tag (_jdbcstreamingfailure),这个有点奇怪 查看对应的说明,是同步过程中出现错误添加的默认标签(http...
全面解析logstash
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-17 949
Logstash 是一款开源的数据收集引擎,由 Elastic 公司开发,主要用于实时地从多种数据源采集、解析、过滤、转换和输出数据。它是 Elastic Stack(Elasticsearch、Kibana、Logstash 和 Beats)中的一个重要组件,专门用于处理日志、指标和其他半结构化或非结构化数据。Logstash 采用数据管道模型来处理数据。
logstash解析系统的messages日志
weixin_33763244的博客
07-27 2956
logstash解析系统日志的写法,output中的stdout为调试,生产可以移除 input { redis { host => "192.168.1.181" port => 6379 db => "0" data_type => "list" key => "815" ...
java Logstash 如何保证数据不丢失
ysq63712284的博客
09-13 4675
用过ruby 版本 的logstash 大家都知道,在input 数据消费进来之后,output数据要是失败了,就会扔掉,这个对数据要求较高的应用中是很难接受的。 举一个列,input kafka,output elasticsearch,在消费kafka数据到内存队列,在output到elasticsearche的时候,elasticsearch不可用,elasticsearc客户端会重试几次...
java logstash 如何保证数据不丢失
weixin_33770878的博客
11-10 1060
用过ruby 版本 的logstash 大家都知道,在input 数据消费进来之后,output数据要是失败了,就会扔掉,这个对数据要求较高的应用中是很难接受的。 举一个列,input kafka,output elasticsearch,在消费kafka数据到内存队列,在output到elasticsearche的时候,e...
OpenSIEM-Logstash-Parsing:SIEM Logstash解析超过一百种技术
04-01
将Elasticsearch用作SIEM(安全事件和事件管理)时,实施Logstash解析并在审计,安全性和系统日志中应用Elastic Common Schema(ECS)的开销可能是一个很大的缺点。 嘉吉SIEM团队花费了大量时间为许多知名日志供应商...
Spring Boot 使用 logback、logstash、ELK 录日志文件的方法
08-28
Spring Boot 使用 logback、logstash、ELK 录日志文件的方法 Spring Boot 是一个基于 Java 的框架,用于构建可靠的、可维护的、灵活的 web 应用程序。在日志录方面,Spring Boot 默认使用 logback 录日志,...
vsftpd-grok-patterns:用于解析 vsftpd 日志录的 Logstash 配置和 grok 模式
07-06
用于解析 vsftpd 日志录的 Logstash 配置和 grok 模式 用法 安装logstash 将50-filter-vsftpd.conf添加到/etc/logstash/conf.d 将vsftpd.grok添加到/etc/logstash/patterns.d 重启logstash 包含的 Logstash ...
logstash-patterns:用logstash解析和构造日志消息的Grok模式
05-26
Logstash模式 使用解析和构造不同服务的日志消息的模式。 使用调试您的图案! 注意,可能会有细微的差异! 向该存储库发出拉取请求时,请不要忘了包含您的提交尝试解析的消息的示例!! 添加图案 通常在自己的文件...
es+logstash 资源限制分两次上传
01-17
在这里,我们主要讨论的是Elasticsearch和Logstash的资源限制问题以及如何进行分两次上传。 **Elasticsearch(ES)** 是一个分布式、RESTful风格的搜索和数据分析引擎,用于实时地存储、搜索和分析大量数据。它能够...
logstash 利用drop 丢弃过滤日志
zhaoyangjian724的专栏
09-15 1万+
input { stdin { } } filter { grok { match => ["message","\s*%{TIMESTAMP_ISO8601}\s+(?(\S+)).*"] } if [Level] == "DEBUG" { drop {}
Flink 替换 Logstash 解决日志收集丢失问题
字节跳动云原生计算官方账号
11-23 698
ELKibana,功能涵盖了从日志收集、解析、查询、分析、可视化等完整的解决方案。上图描述了 ELK 里各组件的关系,基于 libbeat框架的各种 beats 工具将日志及各种数据进行收集,可以直接写入 ES,也可以先写入到 Logstash 进行解析和处理再写入到 ES。如下图所示,Logstash 主要包括三个部分:输入插件:负责从各种不同的 source 读取数据,如文件、beats、Kafka等;
Logstash收集日志丢失之时间问题
热门推荐
Coding Farmer的博客
03-07 1万+
很傻X的一个问题,但是还是要把他录下来 logstash导入到es中,发现丢失数据,查看logstash日志发现是转还日期问题 日志转换异常,导致数据导入不到索引中,也不会出现_grokparsefailure,导致数据丢失,所以我配置的错误日志日志文件中不存在该错误日志,我用动态模板都把他设置成string类型(es为2.x.x),match:"*",不知道为什么他有变成date类型...
logstash学习——02
a123123sdf的博客
11-24 1880
目录标题一、File(Input plugins)(一)插件介绍(二)配置项(三)实例二、Grok (filter plugins)(一)插件介绍(二)配置项(三)实例三、elasticsearch (output plugins)(一)插件介绍(二)配置项(三)实例四、TCP (input plugins)(一)插件介绍(二)配置项(三) 实例五、在线工具六、参考 一、File(Input plugins) (一)插件介绍 从文件中流式传输事件,通常通过以类似于tail -0F但可选地从头读取它们的方式拖
五分钟带你玩转Elasticsearch(十七)企业实战——logstash拆分message
小鲍侃java
01-20 5674
楼主这有一个需求:搜索日志跟分为:接口名,入参,请求类型等字段返回 这里使用了grok /logstash/bin下的配置文件 DATA:为文字类型 不包含_,:等特殊符号 GREEDYDATA:为文字类型 可以包含_,:等符号 注意:如果时间类型 如2021-01-19 17:28:41匹配不到 ,需要更改为GREEDYDATA grok { match => {"message" => "\|%{DATA:userName}\|%{GREEDYDATA
ELK入门(四)——logstash上传messages至ES,在Kibana检索
Netceor的博客
01-22 1320
如何上传:https://blog.51cto.com/jinlong/2055042 解决数据量变少,https://blog.csdn.net/ljfphp/article/details/89340807,因为已经在一个点运行 运行后到head查看,这时应该已经有了相关的录,有可能有延时可以多刷新几次。 创建Index pattern 这里的pattern name不一定要全名,也可以logstash-systemlog*,就可以将所有前缀为logstash-systemlog的
logstash采集与清洗数据到elasticsearch案例实战
糯米鸡的博客
10-28 9417
logstash 的使用 logstash支持把配置写入文件 xxx.conf,然后通过读取配置文件来采集数据 ./bin/logstash –f xxx.conf   logstash最终会把数据封装成json类型,默认会添加@timestamp时间字段、host主机字段、type字段。原消息数据会整个封装进message字段。如果数据处理过程中,用户解析添加了多个字段,则最终结果又会多
强大的logstash
fanda-star
01-05 1534
1、logstash介绍 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 2、工作原理 Logstash 事件处理管道有三个阶段:输入 → 过滤 → 输出。输入生成事件,过滤器修改事件,然后输出到其他地方。输入和输出支持编解码器,使您能够在数据进入或退出管道时对其进行编码或解码,而不必使用单独的过滤器。 详细可参考文档: https://www.elastic.co/guide/en/logstash
logstash 解析syslog
08-09
对于 Logstash 解析 Syslog,你可以使用 Logstash 的 input 插件来接收 Syslog 输入,并使用 grok 过滤器来解析 Syslog 的内容。 首先,安装 Logstash 并启动服务。然后,编辑 Logstash 的配置文件,添加以下内容: ``` input { udp { port => 514 type => syslog } } filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:host} %{DATA:program}\[%{POSINT:pid}\]: %{GREEDYDATA:message}" } } } } output { stdout { codec => rubydebug } } ``` 上述配置中,我们使用 udp input 插件监听 Syslog 的默认端口 514,并将接收到的消息类型标为 syslog。然后,使用 grok 过滤器解析消息的时间戳、主机、程序和消息内容,并将其存储到相应的字段中。 最后,使用 stdout output 插件将解析后的日志输出到控制台。你可以根据需求修改 output 插件,将日志输出到 Elasticsearch 或其他存储系统中。 保存配置文件后,启动 Logstash 服务,它将开始接收和解析 Syslog 消息。你可以在控制台上查看解析后的日志数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值