ELK之logstath的使用(3)----filter插件的使用

最新推荐文章于 2024-07-08 21:54:07 发布
最新推荐文章于 2024-07-08 21:54:07 发布
阅读量1.4k 收藏
点赞数
分类专栏: elk logstath 文章标签: logstath elk filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/O0mm0O/article/details/76618462
版权

filter插件位于input和output中间的位置,我这边工作中主要用来处理event内字段的过滤。下面来具体说一下:
上回经过input将多行日志合并为一行进行采集,采集到的结果如下:

2017-08-03T02:55:48.382Z testserver2 2017-08-03 10:55:45,203 INFO smg.message.cdnws||||cd /data/Video && rsync -avrtuz -R ./2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd||||{"command":"[/usr/local/microservice/rsyncCommand.sh, cd /data/Video, rsync -avrtuz -R ./2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd]", "errorMessage":"null", "infoMessage": sending incremental file list 2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8 sent 279 bytes received 30 bytes 123.60 bytes/sec total size is 108 speedup is 0.35

然后发现logstath会在日志的前面加上时间戳和服务器的名字。在实际业务中还是采用原有日志的时间戳,所以使用filter插件来过滤掉这些不用的字段。
主要使用的filter插件有grokmutate两个插件。

grok:用来对日志进行正则匹配然后分配给相应的字段。

grok{match => ["message","%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:level} %{GREEDYDATA:logmessage}"]}

在这个配置中message代表了原来的日志消息。将其通过正则匹配出三个字段来,时间戳匹配成timestamp,日志等级匹配成level,剩下的信息匹配成logmessage。这样就将原有的message信息分解成了三个字段信息。

mutate:用来对现有的字段进行增加删除处理。

mutate { 
      add_field => {"servicename" => "testName"}
      remove_field => "message"          
      remove_field => "@timestamp"      
      remove_field => "@version"      
      remove_field => "host"      
      remove_field => "path"        
      remove_field => "tags"    
    }

其中删除的字段为logstath自己添加的字段信息,message因为已经分解为三个字段所以不再需要。添加的字段可以写死为一个字符串,相当于给日志信息做个标签名称。
现在的配置文件为:

input{
    file{
        path=>"/home/testfiles/command_service_amq.log"   //日志文件地址
        start_position=>"beginning"               //在第一次读文件时是否从第一行进行读取  默认为end
        codec => multiline { 
            pattern => "^%{TIMESTAMP_ISO8601:timestamp}"   //正则匹配,以iso8601时间为开始  
            negate => true          //如果没匹配则取消正则,没理解,反正true跟false都试试
            what => "previous"      //和上一行组成同一event
        }
    }
}  
filter{
    grok{match => ["message","%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:level}: %{GREEDYDATA:syslog_message}"]} 
    mutate { 
      add_field => {"servicename" => "testName"}
      remove_field => "message"          
      remove_field => "@timestamp"      
      remove_field => "@version"      
      remove_field => "host"      
      remove_field => "path"        
      remove_field => "tags"    
    } 
    //这个if用于将日志级别是debug的日志抛掉
    if [level] == "DEBUG" {  
                drop {}  
                }  
} 
//为了输出好看一些将其变为json输出
output{stdout{codec => json}}

最后的输出结果为:

{"level":"INFO","logmessage":"smg.message.cdnws||||cd /data/Video && rsync -avrtuz -R ./2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd||||{\"command\":\"[/usr/local/microservice/rsyncCommand.sh, cd /data/Video, rsync -avrtuz -R ./2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8 chinacache@rsync4.upload.wscdns.com::chinacache_video --password-file=/etc/rsync_ws.passwd]\", \"errorMessage\":\"null\", \"infoMessage\":\n\rsending incremental file list\n\r2017/08/02/d14853fd5fe24d1691c23e7829367427.mp4.m3u8\n\rsent 279 bytes  received 30 bytes  123.60 bytes/sec\n\rtotal size is 108  speedup is 0.35","servicename":"cptn1","timestamp":"2017-08-03 13:48:09,564"}

大功告成!!!有问题之处烦请在留言中指出,非常感谢。

李德胜_Leedesen
关注
专栏目录
logstat:使用 node cli 分析日志的 CLI 工具
06-05
日志统计 使用 node-cli 模块分析服务器日志的 CLI 工具。 它获取日志文件的路径并执行一些预先构建的操作。 用法 ./index.js -h Usage: index.js [OPTIONS] [ARGS] Options: -p, --path PATH Path of the log file -k, --no-color Omit color from output --debug Show debug information -v, --version Display the current version -h, --help Display help and usage details
Filter的四大插件(grok、date、mutate、mutiline)
guyunbingyb的博客
07-13 627
grok、date、mutate、mutiline
ELfK logstash filter模块常用的插件 和ELFK部署
最新发布
Vince15dvd的博客
07-08 860
logstash filter模块常用的插件filter:表示数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式使用文本片段切分的方式来切分日志事件,分为内置正则,自定义正则。 pattern(通过正则表达式匹配行) negate(false|true,是否取反。false表示不取反,将正则表达式匹配的行按照what的设置进行合并 true表示取反,不将正则表达式匹配的行按照what的设置进行合并) what(previous|next,prev
ELKlogstath的使用(1)----介绍
O0mm0O的博客
08-02 1960
logstath的介绍
ELK日志分析系统】Logstash常用的filter插件
m0_71593537的博客
03-05 997
grok,mutate,multiline,date
stat函数
qq_43359615的博客
01-07 727
stat函数
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
elk-stack-mongo-node-docker
05-13
elk-stack-mongo-node-docker
ELK-快速入门使用
03-03
ELK是三个开源软件的缩写,分别表示:Elasticsearch,Logstash,Kibana。ELK通常用来构建日志分析平台、数据分析搜索平台等Elasticsearch是个开源分布式全文检索和数据分析平台。它的特点有:分布式,零配置,自动发现...
elk:Eclipse布局内核-Java应用程序的自动布局
05-01
图表和可视语言是一件很了不起的事情,但是要使布局正确正确以使其易于理解可能既繁琐又耗时。 Eclipse Layout Kernel提供了许多... plugins :包含ELK组成的所有插件。 setups :包含我们的Oomph设置文件。 tests :
logstash基本语法及运行
Rick的博客
11-05 6579
logstash基础知识 logstash给事件加的额外字段host标记事件发生在哪里 type标记事件唯一类型 tags标记事件的某方面属性,数组 @timestamp标记事件发生事件 过滤插件的通用方法: add_tag、 remove_tag、 add_field、 remove_field, 在插件过滤匹配成功时生效 语法 区域, {}定义区域,区域内可以包括插件区域定义 数据类型, boo
ELK日志分析平台(二)----logstash数据采集
weixin_62615875的博客
12-24 1438
目录 logstath数据处理管道 介绍 切换master 标准输入到标准输出(命令) file输出插件 将文件内容输出到es主机 多行过滤 grok过滤插件 logstath数据处理管道 介绍 Logstath是一个开源的服务器端数据处理管道 Logstath拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您喜欢的"存储库"中。 Logstath管道有两个必须的元素,输入和输出,以及一个可选的元素过滤器 输入:采集各种样式、大小和来源的数据 Lo.
syslogd 详解一:syslogd 架构和源码剖析
私房菜
04-08 1万+
syslogd 是busybox中用来收集系统日志(不同的类型,如kernel,user层)的一个守护进程,而busybox大家都比较熟悉,为嵌入式 开发提供了一个相对完整的运行环境。一般syslogd 在编译后生成于/bin/下 或/sbin 下。不同的进程(client)都可以将log 输送给syslogd(server),由syslogd 集中收集。client 里面特殊的接口、特殊格式进行log 输送,下面会详细说明。1. syslogd。
ELK 过滤器设置
chedan666的博客
08-15 810
2 插件配置 2.3 过滤器配置 2.3.1 date事件处理 @timestamp * ISO8601 * UNIX * UNIX_MS * TAI64N * Joda-Time 库 尽量统一使用UTC时间,存成long长整型数据,否则时区问题会很头疼 2.3.2 grok 正则捕获 grop 调试工具网址:http://grokdebug.herokuapp....
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1343
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段中...
logstash篇之入门与运行机制
lyzkks的博客
07-14 1万+
介绍 简介 logstash 是一个数据收集处理引擎。 工作流程 分为三个阶段 处理流 pipeline pipeline 是input-filter-output的三个阶段的处理流程,包含队列管理、插件生命周期管理。 logstash event 原始数据进入logstash后在内部流转并不是以原始数据的形式流转,在input处被转换为event,在outp...
Elasticsearch系列实战三:使用Logstath与Mysql数据同步
blackomen的博客
11-18 356
1.数据同步方案 1.1 同步双写 最为简单的方式,在将数据写到mysql时,同时将数据写到ES,实现数据的双写 优点:业务逻辑简单 缺点:硬编码;业务强耦合;存在双写失败丢数据风险;性能较差 1.2 异步双写(MQ方式) 针对第一种同步双写的性能和数据丢失问题,可以考虑引入MQ,从而形成了异步双写的方案, 优点:写入性能提高;不存在丢数据问题 缺点:硬编码;业务强耦合;代码编写复杂度增加;可能存在时延问题 1.3 binlog同步 利用mysql的binlog来进行同步,具体步骤如下: 1) 读取my
ELKlogstath的使用(2)----多行日志input插件使用
O0mm0O的博客
08-02 1259
如何使用logstath进行日志多行合并采集
Logstash简单介绍
热门推荐
迷途的攻城狮
06-22 5万+
Logstash入门介绍   一、Logstash简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值