Graylog Pipeline配置

最新推荐文章于 2023-12-27 17:35:28 发布
最新推荐文章于 2023-12-27 17:35:28 发布
阅读量904 收藏 1
点赞数 1
分类专栏: 日志监控 文章标签: graylog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WEDUEST/article/details/128006669
版权

📚概述

graylogpipeline的功能还是比较常用的,可以对字段进行处理,日志删除等操作。

🎨原理

Pipeline位于Stream之后,可以对Stream中的消息进行处理。
实际使用过程中,分流到Stream的规则中可能会用到pipeline清晰后的字段,那么该如何处理呢?
Graylog 接收的所有消息最初都会路由到“All messges”流中。可以将此流用作pipeline处理的入口点,从而允许将传入消息路由到更多流并随后进行处理。也就是说所有消息的过滤、字段变动可以先针对All messages进行,然后在到达其他stream时数据已经被清理一次了。

📗pipeline配置与使用

📐pipeline规则配置

点击System/pipelines -> Manage rules -> Create Rule
image.png
根据具体的需求配置合适的规则即可。
image.png

例如:对filebeat_fields字段重命名

rule "app_name rename"
when
  has_field("filebeat_fields_app_name")
then
   //rename_field(old_field, new_field)
   rename_field("filebeat_fields_app_name","app_name");
end

删除无用字段

rule "delete useless filed"
when
  has_field("filebeat_collector_node_id") 
then
  remove_field("filebeat_@metadata_version");
  remove_field("filebeat_@metadata_beat");
  remove_field("beats_type");
  remove_field("filebeat_@metadata_type");
  remove_field("filebeat_@timestamp");
  remove_field("filebeat_offset");
  remove_field("filebeat_prospector_type");
  remove_field("filebeat_beat_version");
end
🎫规则配置结果

image.png

🧩pipeline配置

点击System/pipelines -> Manage pipelines -> Add new pipeline

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iQtEbmsr-1669204646977)(https://cdn.nlark.com/yuque/0/2022/png/2642424/1667968229982-712f01fc-3904-42be-a5de-5fe39d97636a.png)]

  1. 填写名称信息

image.png

  1. 关联connections,点击edit connections,选择All messages。这里是全局配置,所以选择了All messages,如果需要对单独的Stream进行数据处理,配置指定的Stream即可。

image.png

  1. 配置stage,点击Add new stage,可以在一个stage中配置上述所有规则

image.png
![image.png](https://img-blog.csdnimg.cn/img_convert/0e045fd7e1f44bedd31ce0a8d79d9e82.png#averageHue=#fafaf9&clientId=u81abf24e-c8f4-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=363&id=u3fa8a1d1&margin=[object Object]&name=image.png&originHeight=363&originWidth=1869&originalType=binary&ratio=1&rotation=0&showTitle=false&size=51669&status=done&style=none&taskId=ueea99cd9-b4fa-4d2e-8d3f-d455fccdbad&title=&width=1869)

stage中有具体的处理流程,配置的顺序、以及条件都会影响最终的消息。

📙常用的pipeline

debug日志不入库

rule "discard debug messages"
when
	// debug 日志不入库
  to_long($message.level) > 6
then
  drop_message();
end

日志级别说明
级别(从低到高):ALLTRACEDEBUGINFOWARNERRORFATALOFF
slf4j中就只有tracedebuginfowarnerror

level_namelevel
DEBUG7
INFO6
WARN4
ERROR3

有些日志中并没有level字段,上述规则就无效了。

时间格式对齐

修改timestamp时间为日志中的时间。日志产生时间和日志推送的时间是不一致的,对日志查询存在一定的影响。如下图所示:
image.png
日志示例:

2022-11-23 15:12:38.332 [http-nio-8081-exec-5] INFO  c.a.g.controller.LogGenerateController - info级别177951 info code

需要把上述日志格式中的时间解析为timestamp字段

rule "timestamp del"
when
  true
then
  let m = regex("([0-9]{4}-[0-9]{2}-[0-9]{2}\\s[0-9]{2}:[0-9]{2}:[0-9]{2}.[0-9]{3})",to_string($message.message));
  
  set_field("timestamp",parse_date(to_string(m["0"]),"yyyy-MM-dd'T'HH:mm:ss.SSS'Z'"));
end

注意:如果已经对有日志了,那么timestamp的时间格式为yyyy-MM-dd'T'HH:mm:ss.SSS'Z',这里格式化的时间格式必须是yyyy-MM-dd'T'HH:mm:ss.SSS'Z',否则日志不能正常存储

背火柴的小男孩
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gelf-transformer:即时将json日志转换为GELF格式
05-07
GELF变压器(版本2) 该项目基于 GELF转换器是一种从stdin接收json格式的日志并将其转换为GELF格式的工具它还可以使用自定义将更多数据填充... 您可以提供一个架构,该架构将定义原始日志中的哪些信息将在graylog格式
Graylog】比较常用的pipeline规则
shen12138的博客
07-12 2165
graylog常用pipline记录。
ELK不香了!我用Graylog
架构文摘
01-10 261
“ 当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用 Nginx 对外提供服务,还是使用专用的日志收集服务 EL...
Graylog 日志监控系统介绍
shenyuanhaojie的博客
12-12 3346
文章目录一、Graylog 概述1. 简介2. 工作流程介绍3. 组件功能二、Graylog 部署1. 安装 docker2. 下载 docker 镜像3. 分别启动三个组件4. 浏览器访问 https://www.cnblogs.com/mrhugui/p/11543695.html 一、Graylog 概述 1. 简介   Graylog 是一个开源的日志聚合、分析、审计、展现和预警工具。功能上和 ELK 类似,但又比 ELK 要简单,依靠着更加简洁,高效,部署使用简单的优势很快受到许多人的青睐。但
中间平台工具 - graylog
sf_jiang的博客
08-11 447
graylog是非常好用的数据处理平台,可以对数据进行:streams分类、pipeline、正则匹配、统计汇总、定制化配置Alerts 等处理。//通过 stream rules 字段匹配做关联,比如需要做falco stream,则可根据 program=Falco做分流。streams(从inputs里面,通过stream rules匹配某些字段条件,route to streams)如果配置pipeline,可以在 pipeline Edit connections 里面指定 stream。
Graylog】通过Pipelines在Graylog生成IP地理位置信息
最新发布
u012153104的博客
12-27 1692
在当今数字化时代,随着网络攻击的不断增加和全球化的用户活动,了解IP地址的地理位置信息变得越来越重要。对于网络安全和营销策略来说,掌握IP地址的地理信息可以带来许多好处。接下里将介绍如何通过GraylogPipelines功能,在日志管理平台Graylog中生成IP地址的地理位置信息。Graylog作为一个强大的日志分析工具,不仅可以帮助我们收集和分析日志数据,而且通过Pipelines功能,还可以对日志进行处理和增强。
pipeline ADC的设计指南
12-14
Pipeline ADC设计指南 Pipeline ADC是一种常用的模数转换器架构,它通过将模拟信号分解成多个阶段来实现高精度的数字化。下面我们将详细介绍Pipeline ADC的设计指南。 一、Pipeline ADC的基本原理 Pipeline ADC...
Pipeline Log Filter-crx插件
03-25
语言:English 此扩展消除了Jenkins管道构建日志中的噪音 该插件旨在从活动选项卡中过滤管道构建日志。 这适用于Jenkins构建日志输出,在该输出中您可能具有dotnet构建,dotnet测试,checkmarkx和mstest警告的控制台...
pipeline使用之语法详解
02-20
简单的来说,就是把Jenkins1.0版本中,Project中的相关配置信息,如SVN/Git的配置,Parameter的配置等都变成Code,即PipelineasCode。随着pipeline交付流水线在团队中的推广,使用pipeline脚本的job也迅速增加。优势...
pipeline-gitstatuswrapper-plugin
05-26
管道Git状态包装器插件 这个插件使您可以使用gitStatusWrapper包装命令块,该命令块可自动处理GitHub状态的更新! :check_mark_button: gitStatusWrapper使您的生活更轻松! :check_mark_button: stage('EZPZ ...
graylog-drool-rules:在Graylog服务器中使用一些Drool规则来处理GELF消息
05-04
Graylog-Drool规则 在Graylog服务器中使用一些Drool规则来处理GELF消息
ansible-graylog-modules:用于Graylog API的Ansible模块
01-31
ansible-graylog-modules Graylog2 API的Ansible模块 完整的示例剧本可以在main.yml找到。 进行中 指标 输入项 模组 以下模块可用于相应的操作: graylog_users 创造 更新 删除 清单 graylog_roles 创造 更新 删除 清单 graylog_streams 创造 create_rule 更新 update_rule 删除 delete_rule 清单 query_streams-按流名称查询(即:获取流ID) graylog_pipelines 创造 create_rule create_connection 更新 update_rule update_connection parse_rule 删除 delete_rule 清单 query_pipelines-按管道名称查询(即:获取管道ID) query_rules-按规则名称查询(即:获取规则ID) graylog_index_sets 创造 更新 删除 清单 query_index_sets-按索引集名称查询(即:获
Graylog 更改显示的时区(Display timezone)
timczm的博客
08-29 1137
每个 Graylog 用户都可以配置他们的显示时区。这会更改用于查看日志消息的时区,但不会更改日志消息的原始时区。默认情况下,Graylog 显示 UTC 格式的所有时间戳。这样调整后重启 Graylog 服务器就可以看到时间是北京时间了。:Admin 的时区只能通过 Graylog 服务器。
比 ELK 更简洁、高效!企业级日志平台后起之秀 Graylog
民工哥的博客
03-10 889
点击下方“民工哥技术之路”,选择“设为星标”回复“1024”获取独家整理的学习资料!服务日志收集工具 Filebeat介绍可参考:ELK + Filebeat 搭建日志系统Graylog ...
GrayLog日志处理】
frank_0807的博客
04-06 1170
一.安装 docker部署 1.mongo docker pull mongo:latest docker run -d --restart=always -p 27017:27017 --name mongo -v /data/db:/data/db -d mongo docker exec -it mongodb /bin/bash 2.elasticsearch docker run --name graylog-elasticsearch -p 9200:9200 -p 9300:9300
filebeat直连elasticsearch利用pipeline提取message中的字段
weixin_34216036的博客
03-18 2805
2019独角兽企业重金招聘Python工程师标准>>> ...
graylog
孔小发
06-14 2876
简介 一款log收集方案,存储用的mongodb,搜索引擎使用elasticsearch提供,自身集成web端,最新版本为3.0版本. 功能:日志收集、告警、分析、输出 文档地址 官方文档 http://docs.graylog.org/en/3.0/index.html graylog-sidecar下载地址 https://github.com/Graylog2/collector-si...
0-日志平台-graylog放弃&ES术语简介
阿拉斯加大闸蟹的博客
05-17 4465
使用的目的: 从filebeat采集到kafka的数据,在ELK方案中使用的是logstash落到ES 那么在graylog中要实现logstash如下两个重要功能: 1.消息体的解析(包含过滤、剔除、提取,转换) 2.ES的索引映射,ES作为底层的存储,涉及到日至平台性能,因此这个索引映射和存储要把握住 使用的流程: 1.input配置,kafka接入 extractor提取器: 解析json 解析message(不好使) 2.indices、stream配置,ES索引映射写入 .
centos8 安装graylog
qq_54947566的博客
08-31 440
: 参考官网 先决条件 以最小的服务器设置为基础将需要这个额外的包: $ sudo yum install java-1.8.0-openjdk-headless.x86_64 如果你想稍后使用pwgen,你需要在你的系统上使用sudo yum install epel -release安装EPEL,并使用sudo yum install pwgen安装包。 MongoDB 在CentOS上安装MongoDB应该遵循MongoDB文档中的RHEL和CentOS教程。首先添加存储库文件/etc/yum.re
jenkins通过pipeline配置sonarqube
05-24
可以通过以下步骤在Jenkins上使用Pipeline配置SonarQube: 1. 首先,您需要在Jenkins上安装SonarQube插件。在Jenkins的管理界面中,选择“插件管理”,搜索“SonarQube Scanner”并安装。 2. 在SonarQube服务器上创建一个项目,并获取项目的“Project Key”和“Project Token”。 3. 在Jenkins的管理界面中,选择“全局工具配置”,并配置SonarQube Scanner。输入您的SonarQube服务器URL、SonarQube服务器版本、SonarQube Scanner的名称等信息。在“高级”选项卡下,选择“添加”,并添加SonarQube服务器的证书(如果需要)。 4. 在Jenkins中创建一个Pipeline项目,在Pipeline脚本编辑器中输入以下代码: ``` node { stage('Checkout') { //检出代码 } stage('SonarQube analysis') { withSonarQubeEnv('SonarQube服务器名称') { //运行SonarQube扫描 } } } ``` 5. 在“SonarQube analysis”阶段中,使用“withSonarQubeEnv”方法来指定SonarQube服务器的名称。然后运行SonarQube扫描,使用“sh”命令(如果您使用的是Linux系统)或“bat”命令(如果您使用的是Windows系统)来运行SonarQube Scanner。 6. 在运行SonarQube扫描之前,您需要在代码库的根目录下添加一个名为“sonar-project.properties”的文件,并在其中设置SonarQube项目的配置信息,包括“sonar.projectKey”和“sonar.projectToken”。 7. 最后,保存并运行Pipeline项目。Jenkins将自动运行SonarQube扫描并将结果上传到SonarQube服务器。您可以在SonarQube服务器上查看分析结果。 希望这能帮助您配置Jenkins和SonarQube!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值