Logstash Filter

最新推荐文章于 2024-07-10 16:16:11 发布
最新推荐文章于 2024-07-10 16:16:11 发布
阅读量619 收藏 19
点赞数 15
分类专栏: ELK 文章标签: elk 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yuanshigou9/article/details/136232836
版权
本文详细介绍了Logstash中的GrokFilter如何使用正则表达式解析非结构化日志,以及GeoipFilter如何根据IP地址获取地理位置信息。还展示了如何配置Logstash处理Apache日志和Kafka输入,以及将数据发送至Elasticsearch。
摘要由CSDN通过智能技术生成
1、Grok Filter

Filter 插件(过滤器插件)是 Logstash 功能强大的主要原因,它可以对 Logstash Event 进行丰富的处理,比如说解析数据、删除字段、类型转换等等,常见的有如下几个:

grok 正则匹配解析

mutate:对字段做处理,比如重命名、删除、替换等

date 日期解析

json:按照 json 解析字段内容到指定字段中

dissect 分割符解析

ruby: 利用 ruby 代码来动态修改 Logstash Event

geoip 增加地理位置数据

grok 是一个十分强大的 logstash filter 插件,他可以通过正则解析任意文本,将非结构化日志数据解析成结构化和方便查询的结构内容,将其定义成我们平时容易理解的一些字段名称。他是目前 logstash 中解析非结构化日志数据最好的方式。

# 使用 grok filter 需要在 logstash 的配置文件中加上这样的内容:
filter { 
  grok { 
    match => { 
      "message" => "grok_pattern" 
    } 
  } 
}

grok_pattern 部分需要使用者填充自己的解析方式。

grok_pattern 由零个或多个%{SYNTAX:SEMANTIC}组成,其中 SYNTAX 是表达式的名字,即文本匹配的模式的名称,是由 grok提供的,例如数字表达式的名字是 NUMBER, IP 地址表达式的名字是 IP。

SEMANTIC 表示解析出来的这个字符的名字,即为匹配的文本提供的标识符,由自己定义,例如 IP 字段的名字可以是 client。

# 创建一个测试配置文件
vim /usr/local/logstash-8.12.1/config/test.conf 
------------------------------------------------------------
input {stdin{}} 

filter { 
  grok { 
    match => {
      "message" => 
      "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"
    } 
  } 
} 

output {stdout{codec => rubydebug}}

数字表达式的名字是 NUMBER,%{NUMBER:duration}可以匹配数值类型,但是 grok 匹配出的内容都是字符串类型,可以通过在最后指定为 int 或者 float 来强制转换类型。%{NUMBER:duration:float},data_type 目前只支持两个值:int 和 float。

# 重新启动服务
logstash -f /usr/local/logstash-8.12.1/config/test.conf 

# 输入如下内容:
192.168.1.2 GET /index.html 15824 0.043

自定义 SYNTAX

默认 grok 调用 /usr/local/logstash-8.12.1/vendor/bundle/jruby/3.1.0/gems/logstash-patterns-core-4.3.4/patterns/目录下的正则

ls /usr/local/logstash-8.12.1/vendor/bundle/jruby/3.1.0/gems/logstash-patterns-core-4.3.4/patterns/ecs-v1/

直接在 grok 里面使用自定义表达式

语法格式:(?<filed_name>pattern)

  • ?<filed_name>表示要取出里面的值
  • pattern 就是正则表达式
vim /usr/local/logstash-8.12.1/config/test.conf
-------------------------------------------------------------
input {stdin{}} 
filter { 
  grok { 
    match => { 
       "message" => "(?<date>\d+\.\d+)\s+(?<city>\w+)\s+(?<weather>\w+)" 
    } 
  } 
} 
output {stdout{codec => rubydebug}}

# 重新启动服务
jps -m
kill -9 ?
logstash -f /usr/local/logstash-8.12.1/config/test.conf

自定义正则表达式文件

cd /usr/local/logstash-8.12.1/vendor/bundle/jruby/3.1.0/gems/logstash-patterns-core-4.3.4/patterns/ecs-v1/
vim test
--------------------------------------------
USER_IPADDRESS ([0-9\.]+)\s+ 
DATETIME ([0-9\-]+\s[0-9\:]+)\s+ 
METHOD ([A-Z]+)\s+ 
URL ([\/A-Za-z0-9\.]+)\s+ 
STATUS ([0-9]+)\s+ 
REQUEST_SEND ([0-9]+)\s+ 
REQUEST_TIME ([0-9\.]+)
--------------------------------------------

# 修改logstash配置文件
vim /usr/local/logstash-8.12.1/config/test.conf
---------------------------------------------------------------------------------
input {stdin{}} 

filter { 
  grok { 
    patterns_dir => ["./patterns"] 
    match => { 
      "message" => "%{USER_IPADDRESS:user_ip} %{DATETIME:date} %{METHOD:method} %{URL:url} %{STATUS:status} %{REQUEST_SEND:request_send} %{REQUEST_TIME:request_time}" 
    } 
  } 
} 
output {stdout{codec => rubydebug}}
---------------------------------------------------------------------------------

注意:patterns_dir => "./patterns" #添加 test 正则文件路径,调用我们自己写 好的%{SYNTAX_NAME:SEMANTIC}

10.173.28.112 2018-11-22 16:30:58 GET /AUTO/users/loginSuccess.do 200 46112 0.075

使用 Grok Filter 插件编辑解析 Web 日志

Grok 插件使用详解: https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html

使用 grok filter 过滤 httpd 日志,由于 grok 过滤器插件在传入的日志数据中查找模式,因此配置插件需要你决定 如何识别用例感兴趣的模式。Web 服务器日志示例中的代表行如下所示

[root@cong12 ~] cat /var/log/httpd/access_log

该行开头的 IP 地址很容易识别,括号中的时间戳也是如此。要解析数据,可以使用%{COMBINEDAPACHELOG}grok 模式,该模式使用以下模式构建 Apache 日志中的行:

vim /usr/local/logstash-8.12.1/config/http_logstash.conf
------------------------------------------------------------------------
# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
	kafka{
		codec => "json"
		bootstrap_servers => "192.168.137.103:9092"
		# 设置client.id & group.id 做标识
		client_id => "httpd_logs"
		group_id => "httpd_logs"
		
		consumer_threads => 5
		# 从最新的偏移量开始消费
		auto_offset_reset => "latest"
		# 将当前的 topic,offset,group,partition 等信息 也带到messages中
		decorate_events => true
		topics => "httpd_logs"
	}

}

# 数据处理,过滤,为空不过滤
filter {
  grok {
  	match => { "message" => "%{COMBINEDAPACHELOG}"}
  	# 过滤后丢弃原有信息
  	remove_field => "message"
  }
}

# 输出插件,将时间发送到特定目标
output {
  # 标准输出,把收集的日志在当前终端显示,方便测试服务连通性
  # 编码器为rubydebug
  stdout{
	codec => "rubydebug"
  }
		
  # 将事件发送到es,在es中存储日志
  elasticsearch {
    hosts => ["http://192.168.137.101:9200"]
    #index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    # index 表示事件写入的索引。可以按照日志来创建索引,以便于删除旧数据和时间来搜索日志
    index => "var-messages-%{+yyyy.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
  
  elasticsearch{
	hosts => ["192.168.137.101:9200"]
	index => "httpd-logs-%{+YYYY.MM.dd}"
  }
}
------------------------------------------------------------------------


jps -m
kill -9 4102
grok 正则测试工具

grok 是通过系统预定义的正则表达式或者通过自己定义正则表达式来匹配日志 中的各个值。 正则解析式比较容易出错,建议先调试,kibana 提供了 grok debbuger

Web页面 -> Management -> Dev Tools -> grok debbuger

2、Geoip Filter

geoip 是常见的免费的 IP 地址归类查询库,geoip 可以根据 IP 地址提供对应的地域信息,包括国别,省市,经纬度等等,此插件对于可视化地图和区域统计非常有用。

该 geoip 插件配置要求指定包含 IP 地址来查找源字段的名称。在此示例中,该 clientip 字段包含 IP 地址。

由于过滤器是按顺序进行评估,确保该 geoip 部分是在 grok 配置文件之后,无论是 grok 和 geoip 部分嵌套在内部 filter 部分。

# 修改配置文件
vim /usr/local/logstash-8.12.1/config/http_logstash.conf
---------------------------------------------------------------------------------
# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
	kafka{
		codec => "json"
		bootstrap_servers => "192.168.137.103:9092"
		# 设置client.id & group.id 做标识
		client_id => "httpd_logs"
		group_id => "httpd_logs"
		
		consumer_threads => 5
		# 从最新的偏移量开始消费
		auto_offset_reset => "latest"
		# 将当前的 topic,offset,group,partition 等信息 也带到messages中
		decorate_events => true
		topics => "httpd_logs"
	}

}

# 数据处理,过滤,为空不过滤
filter {
  grok {
	match => { "message" => "%{COMBINEDAPACHELOG}"}
	# 过滤后丢弃原有信息
	remove_field => "message"
  }
  geoip {
 	source => "[source][address]"
	target => "useragent"
  }
}

# 输出插件,将时间发送到特定目标
output {
  # 标准输出,把收集的日志在当前终端显示,方便测试服务连通性
  # 编码器为rubydebug
  stdout{
	codec => "rubydebug"
  }
		
  # 将事件发送到es,在es中存储日志
  elasticsearch {
    hosts => ["http://192.168.137.101:9200"]
    #index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    # index 表示事件写入的索引。可以按照日志来创建索引,以便于删除旧数据和时间来搜索日志
    index => "var-messages-%{+yyyy.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
  
  elasticsearch{
	hosts => ["192.168.137.101:9200"]
	index => "httpd-logs-%{+YYYY.MM.dd}"
  }
}

---------------------------------------------------------------------------------


# 插入测试数据 
[root@cong12 ~] echo '''61.135.169.125 - - [11/Sep/2019:01:59:37 +0800] "GET /noindex/css/fonts/ExtraBoldItalic/OpenSans-ExtraBoldItalic.ttf HTTP/1.1" 404 260 "http://192.168.1.12/" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"''' >> /var/log/httpd/access_log

HuaLuLemon
关注
  • 15
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstashfilter日期插件
12-15
logstashfilter日期插件,解压,在logstash的Gemfile添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path ...
logstash filter-date 插件说明
wy
07-07 2832
# 从字段解析时间戳 date { match => ["[creatime]", # 时间字段 "yyyy-MM-dd HH:mm:ss", # "yyyy-MM-dd HH:mm:ss Z", # "MMM dd, yyyy HH:mm:ss aa", # Oct 16, 2020 11:59:53 PM .
Logstashgrok插件和date插件的简例说明
atec2000的专栏
01-31 465
但你格式化以后,就可以通过target属性来指定到@timestamp,这样你的数据的时间就会是准确的,这对以你以后图表的建设来说万分重要。#第三点需要明白的是,grok有超级多的预装正则表达式,这里是没办法完全搞定的,也许你可以从这个大神的文章找到你需要的表达式。#首先要说明的是,所有文本数据都是在Logstash的message字段的,我们要在过滤器里操作的数据就是message。#还需要强调的是,@timestamp字段的值,你是不可以随便修改的,最好就按照你数据的某一个时间点来使用
logstash过滤器插件filter详解及实例_logstash filter 时间戳
2401_84715926的博客
05-16 956
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则,匹配空格和括号要加上转义符。
Logstash ——filter 四大过滤插件
q1y2y3的博客
07-12 1315
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
logstash使用之日期处理
热门推荐
落叶下的光
11-24 1万+
概述日期插件Date filter plugin用于对logstash接收到的字段的日期进行处理,可以使用处理后的日期作为logstash的timestamp.日期进行处理后,可以在kibana用于统计和分析.参考logstash帮助文档简单使用input{ stdin{ } } filter{ date{ match => ["messa
logstash-filter-java:通过实现Java接口编写logstash过滤器
05-20
Logstash的工作流程,过滤器(Filter)起着至关重要的作用,它允许用户对收集到的数据进行处理,例如转换、清洗或添加元数据。在某些情况下,可能需要自定义过滤器来满足特定的业务需求。本篇将详细介绍如何通过...
logstash-filter-grok-4.0.4.zip
01-15
filter { grok { match => { "message" => "%{PATTERN1} %{PATTERN2}" } } } ``` 其,`message` 字段是待处理的日志条目,`PATTERN1` 和 `PATTERN2` 是用于匹配日志的模式。 5. **调试和测试 Grok** 为了...
logstash-filter-dedupe:Redis的重复数据删除过滤器
05-17
注意:正在进行,大多数def暂时不起... 接下来,您需要使用/opt/logstash/bin/plugin -install logstash-filter-dedupe 最后,将过滤器添加到您的logstash配置filter { dedupe { keys => ["keys", "to", "h
logstash-filter-kv
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
ELK优化之Filebeat部署
2402_83805984的博客
07-06 538
【代码】ELK优化之Filebeat部署。
ELK日志系统和Filebeat采集器的学习总结
u013452335的博客
07-05 481
第二,如果有很多台机器需要日志收集,那么让每台机器都向Elasticsearch持续写入数据,必然会对Elasticsearch造成压力,因此需要对数据进行缓冲,同时,这样的缓冲也可以一定程度的保护数据不丢失;为什么不是直接在每台机器上使用Logstash提取数据、处理、存入Elasticsearch?Logstash负责采集数据,Logstash有三个插件,input、filter、output,filter插件作用是对采集的数据进行处理,过滤的,因此filter插件可以选,可以不用配置。
ELK】filebeat 和logstash区别
zclinux的博客
07-08 500
Filebeat 和 Logstash 都是 Elastic Stack (也称为 ELK Stack) 的重要组件,用于日志数据的收集、处理和传输。
ELK企业级日志分析系统
weixin_44112402的博客
07-07 1038
Logstash 配置文件基本由三部分组成:input、output 以及 filter(可选,根据需要选择使用)。●input:表示从数据源采集数据,常见的数据源如Kafka、日志文件等●filter:表示数据处理层,包括对数据进行格式化处理、数据类型转换、数据过滤等,支持正则表达式grok 对若干个大文本字段进行再分割成一些小字段 (?<字段名>正则表达式) 字段名: 正则表达式匹配到的内容date 对数据的时间格式进行统一和格式化。
【分布式系统】ELK 企业级日志分析系统
F12138X的博客
07-06 1076
纵使黑夜吞噬了一切,太阳还是可以重新回来
管理和分析日志使用 ELK 套件构建强大的日志管理平台
weixin_39372311的博客
07-06 546
通过遵循上述步骤,你可以在 CentOS 和 Ubuntu 上安装和配置 ELK 套件。这将为你提供一个强大的日志管理平台,帮助你有效地收集、存储、搜索和分析日志数据。
ELK 企业级日志分析系统
Vince15dvd的博客
07-05 698
ELK平台是一套完整的日志处理解决方案,将 ElasticSearch、Logstash 和 Kiabana 三个开源工具配合使用, 完成更强大的用户对日志的查询、排序、统计需求。ELKLogstashKibanaElasticsearch是Elastic Stack核心的分布式搜索和分析引擎,其为所有类型的数据提供近乎实时的搜索和分析。Logstash是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的“存储库”
ELK优化
最新发布
2401_83784774的博客
07-10 558
①加大服务器内存和JVM堆内存②用多实例做负载均衡③使用filebeat替代logstash采集日志数据。
logstash filter
09-20
Logstash filterLogstash的一个组件,用于对数据进行处理和转换。在Logstashfilter插件,有一些常用的选项,例如add_field、remove_field、add_tag、remove_tag。这些选项可以通过在配置设置相应的值来实现对数据的处理。 如果你想使用Logstash filter日期插件,你需要先解压插件包,并在Logstash的Gemfile文件添加相应的配置。例如,如果你想添加logstash-output-webhdfs插件,你可以在Gemfile文件添加以下行: gem "logstash-output-webhdfs", :path ... 关于Logstash的安装,你可以参考之前的文章或教程进行安装,并完成一个简单的日志收集功能。Logstashfilter组件可以处理不同格式的数据,你可以根据具体需求选择相应的过滤器进行配置和使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值