logstash数据处理及格式化功能详解

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量3k 收藏 5
点赞数 1
文章标签: 数据库 json 开发工具
原文链接:http://www.cnblogs.com/yanshaoshuai/p/11386442.html
版权

Grok正则提取日志

环境延续我上一篇ELK单机版的filebeat-->redis-->logstash-->elasticsearch-->kibana环境,详情请参考:

 Elasticsearch + Logstash + Kibana +Redis +Filebeat 单机版日志收集环境搭建

正则表达式

普通正则表达式

. 任意一个字符

* 前面一个字符出现0次或者多次

[abc] 中括号内任意一个字符

[^abc] 非中括号内的字符

[0-9] 表示一个数字

[a-z]   小写字母

[A-Z] 大写字母

[a-zA-Z] 所有字母

[a-zA-Z0-9] 所有字母+数字

[^0-9] 非数字

^xx xx开头

xx$ xx结尾

\d 任何一个数字

\s 任何一个空白字符

扩展正则表达式,在普通正则符号再进行了扩展

? 前面字符出现0或者1

+ 前面字符出现1或者多次

{n} 前面字符匹配n

{a,b} 前面字符匹配ab

{,b} 前面字符匹配0次到b

{a,} 前面字符匹配aa+

(string1|string2) string1string2

 

在Kibana的grokdebugger上进行测试

在编写grok提取正则配置前可以在Kibana的grokdebugger上进行测试:

比如我想提取一个如下的Nginx日志:

 192.168.237.1 - - [24/Feb/2019:17:48:47 +0800] "GET /shijiange HTTP/1.1" 404 571 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36"

那么可以按照正则表达式和grok语法在grokdebugger进行如下测试:

可以看到我的Grok成功提取了我想要的内容,我的Grok匹配规则如下:

(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) - - \[(?<requesttime>[^ ]+ \+[0-9]+)\] "(?<requesttype>[A-Z]+) (?<requesturl>[^ ]+) HTTP/\d.\d" (?<status>[0-9]+) (?<bodysize>[0-9]+) "[^"]+" "(?<ua>[^"]+)"

(?<字段名>正则)表示将匹配的内容提取为字段,其他不用提取为字段的地方原样写上或者用正则匹配即可。

 

在配置文件中引入Grok提取规则

vim ./logstash_grok.conf
# logstash_grok.conf内容
input {
    
   redis {
    
        host => '192.168.1.4'
        port => 6379
        key => "queue"
        data_type => "list"
  }
}
filter {
    
    grok {
    
        match => {
    
            "message" => '(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) - - \[(?<requesttime>[^ ]+ \+[0-9]+)\] "(?<requesttype>[A-Z]+) (?<requesturl>[^ ]+) HTTP/\d.\d" (?<status>[0-9]+) (?<bodysize>[0-9]+) "[^"]+" "(?<ua>[^"]+)"'
        }
    }
}
output {
    
  elasticsearch {
    
    hosts => ["ht
最低0.47元/天 解锁文章
ai040865
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash简介及基本操作
yurun_house的博客
10-13 6万+
一:logstash概述: 简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网,Logstash提供里很多功能强大的滤网以满足你的各种应用场景。 logstash常用于日志系统中做日志采集设备,最常用于ELK中作为日志收集器使用 二:logstash作用: 集中、转换和存储你的数据,是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存
Logstash 时间格式化
Brave_heart4pzj的博客
05-17 1916
情景: 我这边对接kafka,通过^符号来进行字符串分割 其中, 有个时间字段,但是,时间是14位的数字字符串 类似:20220517162218 于是,我这边需要转换成date类型的,才能在页面上按时间查询 转换成:2022-05-17 14:51:23 代码: mutate{ split => ["message","^"] add_field => { "my_time" => "%{[message][8]}" } } da
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1119
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
LogStash 简介
Fisher3652的博客
03-13 1万+
目录1. 概述2. 体系结构2.1 插件2.2 事件2.2.1 访问事件属性2.2.2 事件 API2.3 队列2.3.1 持久化队列2.3.2 死信队列3. 管道配置3.1 主管道配置3.2 单管道配置3.3 多管道配置4. 编解码器插件4.1 plain 插件4.2 line 编解码器4.3 json 编解码器4.4 序列化编解码器5. 输入输出插件5.1 stdin 输入插件和 stdout 插件5.2 elasticsearch 插件5.3 文件插件5.3.1 事件属性5.3.2 读取模式5.3.3
Logstash原理介绍及应用
热门推荐
长沙老码农
01-29 2万+
目录 1、Logstash安装 2、Logstash原理 2.1 输入、过滤器和输出 2.2 采集各种样式、大小和来源的数据 2.3 实时解析和转换数据 2.4 导出数据 3、 LogStash入门使用 3.1 Input插件 4、Logstash高级使用 4.1 jdbc插件 4.2 syslog插件 4.3 filter插件 4.4 Output插件 logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好.
logstash常见数据清洗配置
舒克的博客
06-29 2088
ogstash通过插件的形式来配置input,filter,output,在消费数据后,如果需要对数据做处理,需要用到filter的很多功能。最近使用logstash传递kafka数据到es时,了解了一些logstash处理数据的方式,以下logstash的config做个简单分享: input { kafka { bootstrap_servers => "xxx.xxx.xxx.xx:9092,yyy.yyy.yyy.yy:9092," ##kafka地址,可以是集群 ...
logstash-template模板:logstash.json
06-14
综上所述,`logstash.json`模板是Logstash数据处理流程中的关键组成部分,通过合理的模板设计,我们可以有效地管理和分析来自不同来源的数据,提升数据的可读性和分析效率。在实际操作中,应根据具体需求进行定制和...
logstash ELK
11-05
Logstash 广泛应用于日志分析、安全监控、应用性能监控、物联网(IoT)数据处理等领域。通过收集、解析和存储日志,企业可以更好地理解其系统的运行状况,快速定位问题,同时也可以进行合规性和安全性的审计。 总结来...
[Logstash]使用详解1
08-03
Logstash 是一款轻量级的日志收集和处理框架,它能有效地将分散的、多样的日志数据汇聚在一起,经过自定义的处理后,发送到指定的目标,如服务器或文件。这款工具简单易用,适合各种环境下的日志管理。 在安装...
logstash-8.6.1.7z
01-29
数据处理 Logstash 的核心是其过滤器(Filter)模块。过滤器可以对收集到的数据进行一系列操作,如: - **解析**:将原始数据转化为结构化数据,如JSON格式。 - **转换**:修改或添加字段,如提取时间戳、计算...
logstash-2.4.1
06-10
2. **数据处理与过滤插件**:Logstash的强大在于其丰富的过滤器插件集合。这些插件可以对收集到的数据进行清洗、解析、转换,甚至可以进行复杂的逻辑判断和数据关联。例如,grok过滤器用于解析结构化和非结构化的...
logstash】时间计算和格式化
shen12138的博客
12-04 3196
记录 时间格式化:.strftime(’%Y-%m-%d %H:%M:%S.%L’) %L:毫秒 时间计算:code => “event.set(‘timestamp’, (event.get(‘timestamp’).time.localtime - 86060))” input { file { path => "/home/nxlog/test.txt" start_position => "beginning" } } filter{ gr
1.logstash 网络设备日志格式化标准
木棍先生的博客
04-24 1319
实实在在的干货,各位道友可以用的着,工作中一帆风顺,步步高升。 1.设备命名标准举例 设备命名标准举例 1{JP}-2{BJ}-3{XY}-4{1F-B16}-5{CSW}-6{H3C12508}-7{001} 所属公司 {1} 九派 公司区分当前是因为方便支付过检 ...
日志
cloudmagpi的博客
09-08 992
日志是什么: 日志主要的作用是记录程序运行的过程,通过日志方便观察程序的运行状况和运行过程,便于分析程序的执行过程,JDK自带一个日志,但是效果不太好,速度较慢,要写的代码较多 常见的日志工具 jdk-logging log4j :其中commons-logging是规范,log4j是commons-logging的实现 要实现log4j首先需要导入两个依赖:log4j和commons-logging <dependency> <groupId>log4j</g
Logstash基础:2:数据处理过程
知行合一 止于至善
08-08 1475
上篇文章介绍了Logstash的概要信息和使用docker方式搭建环境的方法,这篇文章以一个具体的例子来说明Logstash数据处理过程中input/filter/output插件的使用方法。
logstash中常见时间格式的定义
weixin_42039715的博客
11-27 3338
1、在配置文件中自定义的时间格式 例如 tomcat 定义的格式%{yyyy-MM-dd HH:mm:ss Z},按照这样的配置,输出的日志原文是 "timestamp" : "2019-12-11 10:11:12 +0800"   那么在 logstash 中应该这样配置 date {   match => [ "timestamp", "yyyy-MM-dd HH:mm:ss Z"]   target => "@timastamp" } 这样子不会报"_datepa...
使用Logstash过滤插件Grok的内置正则实现日志数据格式化
江晓龙的博客
07-13 1151
格式化之前的日志内容 一条nginx的日志内容,第一列是客户端IP,第二列是请求方式,第三列是请求的URL,第四列是请求的文件大小,第五列是响应时间,如果这条数据不进行格式化,我们是无法针对性的去匹配相应的日志内容,比如想统计出响应时间比较长的页面,我们就需要去筛选第五列了,但是日志不进行格式化,就无法针对第五列去做筛选。kibana上可以针对grok的表达式进行调试点击Management—>开发工具—>grok debugger1)在kibana上使用grok正则调试格式化日志数据Grok模式:数据中第
ELK学习笔记之Logstash详解
dengxiangbao3167的博客
11-01 780
0x00 Logstash概述 官方介绍:Logstash is an open source data collection engine with real-time pipelining capabilities。简单来说logstash就是一根具备实时数据传输能力的管道,负责将数据信息从管道的输入端传输到管道的输出端;与此同时这根管道还可以让你根据自己的需求在中间加上滤网...
Logstash 格式化数据
06-06
以下是一个简单的 Logstash 配置文件示例,用于将日志数据格式化JSON 格式: ``` input { file { path => "/var/log/app.log" } } filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值