Logstash中filter常用的语法

最新推荐文章于 2024-07-17 13:20:15 发布
最新推荐文章于 2024-07-17 13:20:15 发布
阅读量1w 收藏 18
点赞数 2
分类专栏: ELK 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Q748893892/article/details/106050665
版权

1.根据条件删除当前消息

   if "caoke" not in [docker]{
     drop {}
   }
   if "caoke" != [className]{
      drop {}
   }
  1. 删除字段
    remove_field => ["message"]
  2. 添加字段
    mutate{
     add_field => {
         "timestamp" => "%{[message]}"
   }
 }
  3. 转换字段类型
    mutate{
       convert => {
               "ip" => "string"
       }
}
  4. 重命名字段
    mutate{
        convert => {
                "ip" => "string"
        }
        rename => {
                "ip"=>"IP"
        }
}
  5. 字段取值 %{message}

7.logstash 条件判断语句

  使用条件来决定filter和output处理特定的事件。logstash条件类似于编程语言。条件支持if、else if、else语句,可以嵌套。 
  比较操作有: 
  相等: ==, !=, <, >, <=, >= 
  正则: =~(匹配正则), !~(不匹配正则) 
  包含: in(包含), not in(不包含) 
  布尔操作: 
  and(与), or(或), nand(非与), xor(非或) 
  一元运算符: 
  !(取反) 
  ()(复合表达式), !()(对复合表达式结果取反)

if[foo] in "String"在执行这样的语句是出现错误原因是没有找到叫做foo的field,无法把该字段值转化成String类型。所以最好要加field if exist判断。
判断字段是否存在,代码如下:

if ["foo"] {
   mutate {
     add_field => { "bar" => "%{foo}"}
   }
 }

 example:
   filter{
       if "start" in [message]{
           grok{
               match => xxxxxxxxx
           }
       }else if "complete" in [message]{
           grok{
               xxxxxxxxxx
           }
       }else{
           grok{
               xxxxxxx
           }
       }

   }
  1. 创建模板
PUT _template/temp_jiagou
{
  "order": 0,
  "index_patterns": [
    "jiagou-*"
  ],
  "settings": {
    "index": {
      "number_of_shards": "1",
      "number_of_replicas": "1",
      "refresh_interval": "5s"
    }
  },
  "mappings": {
    "_default_": {
      "properties": {
        "logTimestamp": {
          "type": "date",
          "format": "yyyy-MM-dd HH:mm:ss||yyyy-MM-dd HH:mm:ss.SSS||epoch_millis"
        },
        "partition": {
          "type": "integer"
        },
        "offset": {
          "type": "long"
        },
        "lineNum": {
          "type": "integer"
        }
      }
    }
  }
}
习惯了想你
关注
专栏目录
logstashfilter配置
老柴菜鸟
04-20 7152
前一篇我们已经学会了logstash-input-file插件的用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
Logstash filter 的使用
theminer的博客
01-10 992
概述 logstash之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程 强大的文本解析工具--Grok grok是一个十分强大的logstashfilter插件,他可以解析任何格式的文本,他是目前logstash解析非结构化日志数据最好的方式 基本用法 Grok的语法规则是: %{语法 : 语义} “语法”指的就是匹配的模式,例如使用N...
logstash 使用详解
程序员学习圈
02-28 1271
1.安装logstash [luomk@iz2zeb7o9hu1q5dxvshng4z module]$ tar -zxvf logstash-6.3.1.tar.gz [luomk@iz2zeb7o9hu1q5dxvshng4z module]$cd config [luomk@iz2zeb7o9hu1q5dxvshng4z module]$vi log4j_t...
logstash配置文件filter方法介绍
最新发布
qq_37647812的博客
07-17 891
logstash配置文件filter方法介绍
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1626
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
Logstash学习--Filter
春天的道路依然充满泥泞!
10-25 7988
date过滤器date过滤器的用途是从某些字段解析出时间,然后用这个时间作为事件(event)的时间戳。但是要从某个字段解析时间,要告诉date时间的格式,这样它才能根据指定的格式获取时间。比如说某字段的数据格式是这样的:"Apr 17 09:32:01"你要告诉date,你去哪个字段上解析时间,并且时间的格式是:MMM dd HH:mm:ss时间戳对一个事件很重要,可以帮助你实现sorting
logstash-filter-grok-4.0.4.zip
01-15
Grok 是 Logstash 的一个核心过滤器插件,专门用于解析和提取非结构化日志数据的关键信息,使其转化为结构化数据,便于后续处理和分析。 在 Logstash 4.0.4 版本,Grok 过滤器插件扮演着至关重要的角色。它...
Logstash配置语法
weixin_45880055的博客
08-11 3961
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程Logstash配置文件有如下三部分组成,其input、output部分是必须配置,filt
ELK——Logstash filter的使用和Kibana应用
w1206507055的博客
06-18 845
Logstash filter 的使用和Kibana应用
logstash filter 学习
fyj的博客
04-28 365
案例 读取文本文件 内容: vi a.cong input { stdin{} } filter{ mutate{        split=>["message",","]    }    mutate{        split=>["message",":"]    }    mutate{        add_field=>{
logstash filter 笔记
qq_28808697的博客
04-23 525
1、 filter { # Perform hashing on NXLog differently than other logs else if [type] == "nxlog-winevent" { # 通过使用一个连续的hash来替换值来fingerprint 字段。 fingerprint { # source字段的名称,其内容将用于创建...
logstash-filter模块
小胡子
05-14 203
Fillters 在Logstash处理链担任间处理组件。他们经常被组合起来实现一些特定的行为来,处理匹配特定规则的事件流。常见的filters如下: grok:解析无规则的文字并转化为有结构的格式。Grok 是目前最好的方式来将无结构的数据转换为有结构可查询的数据。有120多种匹配规则,会有一种满足你的需要。 mutate:mutate filter 允许改变输入的文档,你可以从命名,删除,移动或者修改字段在处理事件的过程。 drop:丢弃一部分events不进行处理,例如:debug event
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash配置文件
weixin_33670786的博客
06-26 442
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos....
logstash 6.3.2 filter 过滤器各种方法
wanglei_storage的博客
09-12 4551
input { file { path =&amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;quot;/data/logs/nginx_logs/access.log&amp;amp;amp;amp;quot; type =&amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;quot;dev-chuiyi-site-landing-1&amp;amp;a
Logstash过滤插件Filter使用
程序员劝退师的博客
10-03 1469
前言 在之前一篇文章关于Logstash安装使用已经演示过读写的功能了,Logstash不单是对数据进行读取和输出的功能,另一个强大的功能就是对数据的清洗,也就是俗称的过滤,那么此篇文章就是介绍Logstash使用Grok来进行对数据的清洗过滤! Grok介绍 grok是用正则表达式来捕获关键数据的,grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便车查询的结构,他是目前logstash解析非结构化日志数据最好的方式。 Grok的语
logstash语法
01-24
Logstash是一个开源的数据收集引擎,用于实时处理和转发日志和其他事件数据。它使用简单的配置文件来定义数据流的输入、过滤和输出。以下是Logstash的基本语法组成: 1. 输入插件(Input):用于从不同来源收集数据。常见的输入插件包括file(读取文件)、stdin(读取标准输入)、tcp(接收TCP数据)等。 2. 编码插件(Codec):用于解析和编码数据。它可以将数据从一种格式转换为另一种格式,例如将JSON数据解析为结构化数据。常见的编码插件包括json(解析JSON数据)、plain(纯文本编码)等。 3. 过滤器插件(Filter):用于对数据进行处理和转换。它可以根据条件过滤数据、添加字段、修改字段值等。常见的过滤器插件包括grok(通过正则表达式解析日志数据)、mutate(修改字段值)、date(解析日期字段)等。 4. 输出插件(Output):用于将处理后的数据发送到不同的目的地。常见的输出插件包括elasticsearch(发送数据到Elasticsearch)、stdout(输出到标准输出)、file(写入文件)等。 以下是一个示例配置文件,演示了Logstash的基本语法: ```shell input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } stdout { codec => rubydebug } } ``` 上述配置文件的含义是:从指定路径的文件读取日志数据,使用grok插件解析日志数据,然后将处理后的数据发送到Elasticsearch,并在标准输出打印调试信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值