使用logstash grok解析x-forwarder log

已于 2022-05-26 15:07:47 修改
阅读量337 收藏
点赞数
分类专栏: elk 文章标签: logstash
于 2020-03-10 21:31:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/104783773
版权

x-forwarder.log中的特点是:

前面第一个ip是client,后面的ip都是proxy,proxy可以有多个。

logstash conf:

if "," in [message]{
    grok{
        match => {
            "message" => "%{IP:client}(?:, %{IP:proxy1}|)(?:, %{IP:proxy2}|)(?:, %{IP:proxy3}|) %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{GREEDYDATA:request}(?: HTTP\/%{NUMBER:http_version}|)\" %{NUMBER:response_code} (?:%{NUMBER:bytes}|-)"
        }
    }
}
else{
    grok{
        match => {
            "message" => "(?:%{IP:client}|-) %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{GREEDYDATA:request}(?: HTTP\/%{NUMBER:http_version}|)\" %{NUMBER:response_code} (?:%{NUMBER:bytes}|-)"
}

有的情况下会根据情况有不同的正则匹配原则,类似于三目运算的表达方法。(?:%{IP:client}|-),这里面用小括号括起来,前面的?表示如果满足|前面的匹配,就匹配前面的,如果不满足就匹配|后面的,如果是不满足前面的时候就没有这个字段的话,那就|后面什么都不写即可,如果是不满足还有另一种匹配方式的话,就可以在|后面再写%{}匹配其他的格式。

QYHuiiQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
X-Forwarded
lch_pp的博客
09-12 204
特点是每个节点都会有一个ingress的pod, 但是node1上已经有我们新安装的nginx,会导致端口冲突,并且ingress使用的还是主机网络,导致与主机的端口冲突。node节点上的nginx做好配置后,master节点上的ingress重新安装,并新建一个websocket假域名的ingress,因为ingress的控制器是ds。上游说他们没有代理,直接cdn转发过来的, 但是实际上并不是没有代理,区别就是可能不是nginx7层代理,可能是4层或者3层代理,但是学校不承认,
Fiddler做代理服务器时添加X-Forwarder-For转发真实客户端ip
diaojushi3109的博客
05-10 632
修改CustomRules.js 菜单: Rules->Customize Rules (ctrl+R) 在static function OnBeforeRequest(oSession: Session) 中添加如下js: var clientIp=oSession["X-CLIENTIP"]; var reg=/([0-9]+.)+/ig; clientI...
使用logstash收集nginx访问日志
wang_quan_li的专栏
09-06 2083
首先安装logstash,这个非常简单,不赘述。建议把所有插件都安装上,省心。 然后要配置一下logstash for nginx。logstash基本原理:input => filter => output。在我们这里input就是nginx的access日志,output就是ElasticSearch。filter则是用来解析和过滤日志用。一般我们要把message结构化再存储,方便后面的搜
Logstash使用以及语法格式
菜鸟也学大数据的博客
09-07 1247
Logstash的启动方式 第一种:logstah绝对路径/bin/logstash -e ‘input { stdin { } } output { stdout { } }’ 第二种:logstah绝对路径/bin/logstash -f 配置文件 Logstash的语法格式 标准结构: input { stdin {} } output { stdout {} } 设置输出格式: input { stdin {} } output { #输出格式常用的有json、rub
Logstash:Email output plugin
Elastic 中国社区官方博客
03-08 1377
在我们使用Logstash时,有时需要在信息处理时,在收到输出时发送电子邮件, 或者检查到某个条件而发出一个邮件进行提示。详细的描述可以参阅Email output plugin。在目前的Logstash的安装中,已经包含这个插件,我们不需要做任何的安装。在今天的教程中,我们来运用一个例子来展示。 配置Logstash 在本例子中,我们来使用hotmail来展示。我们首先定义一个Logs...
logstash-forwarder-java:Java日志发件人
05-13
logstash-forwarder-java 这是什么 ? Logstash-forwarder-java是用Java编写的日志传送程序。 实际上,这是的Java版本。 这是该程序的一些功能: 与Java 5运行时兼容 轻巧的:封装大小为〜2MB,内存占用量为〜8MB ...
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
logstash_forwarder-formula:logstash-forwarder 的盐公式
06-08
> 默认情况下,两个发行版系列的 init 文件在调用 logstash-forwarder 时都启用“log-to-syslog”,这可能会用不必要的噪音污染您的系统日志。 默认情况下,此功能将保持打开状态,但可以通过在您的Struts数据中将 ...
docker-logstash-forwarder:logstash-forwarder最小Docker容器映像
05-17
docker-logstash-forwarder 精益(16MB) logstash-forwarder Docker映像。 在这里,您将找到一个用于组装logstash-forwarder容器的Dockerfile,该容器通过安全的Lumberjack协议与logstash服务器进行通信。 这可能...
docker-logstash-forwarder:Logstash-Forwarder Docker映像
05-30
Logstash-Forwarder Docker映像 用于 logstash/elasticsearch 日志部署的 。 从官方logstash-forwarder存储库构建并锁定以发布v0.4.0 。 图像从不需要的包中剥离出来,从 ~650M 现在只有 ~335M SSL 证书和日志文件 ...
使用Logstash操作Elasticsearch时ruby语法常用操作
qq_39285950的博客
12-21 1008
Elasticsearch Logstash ruby操作list,ruby for循环,ruby格式化时间(YYYY-mm-ddTHH:MM:SS),ruby获取现在时间并格式化,ruby转换时间戳,,ruby转换时间格式,转换为%Y-%m-%dT%H:%M:%S,转换为时间戳,ruby截取字符串长度,ruby循环,ruby数组操作,rubyjson操作,ruby读json,ruby写json,ruby读写json,rubymd5加密,ruby连接mysql jdbc,ruby同时启动多个logstash
elasticsearch + logstash + kibana 基础操作
LKET的博客
03-05 408
安装ELK elasticsearch下载地址:https://www.elastic.co/downloads/elasticsearch logstash下载地址:https://www.elastic.co/downloads/logstash kibana下载地址:https://www.elastic.co/downloads/kibana 安装参考(推荐官网下载压缩包再解压,brew安...
Logstash:日志解析Grok 模式示例
Elastic 中国社区官方博客
03-25 3148
如果没有日志解析,搜索和可视化日志几乎是不可能的。 解析结构化您的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助你了解如何解析日志数据。
logstash input output filter 插件总结
热门推荐
yesicatt的博客
08-03 3万+
Logstash学习记录 官方文档logstash2.3 document: https://www.elastic.co/guide/en/logstash/current/index.html 一:什么是Logstash 1. logstash 是什么? Logstash 是有管道输送能力的开源数据收集引擎。它可以动态地从分散的数据源收集数据,并且标准化数据输送到你选择的目的地。
Logstash使用grok插件解析Nginx日志
weixin_33796205的博客
09-07 953
grok表达式的打印复制格式的完整语法是下面这样的: %{PATTERN_NAME:capture_name:data_type}data_type 目前只支持两个值:int 和 float。 在线gork正则的地址:http://grokdebug.herokuapp.com/ Logstash基础正则地址:https://github.com/elastic/logstash/blob/v...
x-forward-for详解
真理部
10-09 1万+
http://www.cnblogs.com/xdjackfeng/p/3514120.htmlx-forward-for
logstash 内置匹配IP
weixin_30363509的博客
09-06 221
10.252.142.174 - - [06/Sep/2016:08:41:36 +0800] "GET /api/validate/code/send?mobilePhone=18652221499&messageType=1&_=1454297673274 HTTP/1.1" 200 52 0.010 112.17.240.27 模式; %{IPORHOST:cl...
Logstash详解之——output模块
weixin_33968104的博客
09-06 608
Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据到ES.在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找. elasticsearch{ hosts=>["172.132...
Logstash(一)的入门与运行机制
LoveSummer
03-02 1315
Logstash介绍 数据收集处理引擎 ETL工具 数据收集处理引擎- Logstash 在数据收集处理中的位置如下图(框架简介)。 Logstash 能够动态地采集、转换和传输数据,不受格式或复杂度的影响。利用 Grok 从非结构化数据中派生出结构,从 IP 地址解码出地理坐标,匿名化或排除敏感字段,并简化整体处理过程。 ...
logstash grok 解析Nginx
最新发布
06-07
好的,我可以为您解析如何使用LogstashGrok插件来解析Nginx日志。首先,您需要安装LogstashGrok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值