Logstash常见的数据过滤情形及导入Elasticsearch数据库

最新推荐文章于 2024-04-23 10:33:19 发布
最新推荐文章于 2024-04-23 10:33:19 发布
阅读量1k 收藏 1
点赞数
文章标签: 数据库 大数据 linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aosimth/article/details/106460559
版权

Logstash安装

下载并解压安装包

wget https://artifacts.elastic.co/downloads/logstash/logstash-5.4.1.tar.gz

tar -zxf logstash-6.2.2.tar.gz

测试安装是否成功

在logstash文件的bin目录下执行如下命令(参数-e:立即执行,使用命令行里的配置参数启动实例)

./logstash -e 'input { stdin {} } output { stdout {} }'

测试结果
测试结果

格式化输出测试

./logstash -e 'input { stdin {} } output { stdout { codec => rubydebug}  }'

测试结果
在这里插入图片描述

实际使用

创建配置文件,用命令解析配置文件

./logstash -f /opt/config/mylog.conf (配置文件所在的绝对路径)

数据过滤

#单一文件解析:

1.Json格式字符串
在这里插入图片描述
配置文件信息

input {   //输入流
    file {   //输入为文件
        path => "/opt/aa.txt"            //待解析的文件绝对路径
        start_position => "beginning"      //从头开始读取(解析)文件
        sincedb_path => "/dev/null"      //利用linux黑洞达到每次重头读取日志文件,每次重新读取时,检查之前的读取都为空。
        codec => json          //目标文件的数据格式(导入ES数据库时,json的键即为字段名)
    }
}
output {  //输出流
    stdout {      //输出到控制台
        codec => rubydebug     //以 rubydebug 的编码格式输出
    } 
}

2.Json格式中带Json对象的字符串(禁止套娃)
在这里插入图片描述
配置文件信息

input {
    file {
        path => "/opt/aa.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        codec => json
    } 
}
filter {   //过滤器
        mutate { //数据修改插件,丰富的基础类型数据处理能力。可以重命名,删除,替换和修改事件中的字段。
            add_field => { "adv" => "%{cm}" }     //新增字段,将cm对象内容载入新字段adv作为字符串,否则会解析错误
        }
        json {  //JSON插件用于解码JSON格式的字符串,一般是一堆日志信息中,部分是JSON格式,部分不是的情况下
            source => "adv"      //解码Json格式的adv字段
            remove_field => [ "adv","cm" ]   //删除两个新旧字段
        }
}
output {
    stdout {
        codec => rubydebug
    }
}

直接解析里层json对象(inner就是cm)与mutate提取后的字段(adv)解析对比
在这里插入图片描述
3.纯文本字符串(正则捕获)
在这里插入图片描述
配置文件信息

input {
    file {
        path => "/opt/aa.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
    }
}
filter {
    grok {    	
        match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }    //自定义表达式语法,在message字段中匹配正则
        remove_field => ["message"]       //删除message字段未被正则匹配的部分
    }
}
output {
    stdout {
        codec => rubydebug
    }
}

注:自定义表达式语法:(?<field_name>regex),调用字段名即可调用字段内容

4.纯文本+json格式混合的字符串
在这里插入图片描述

input{
	file{
		path => "/opt/exam/exam.log"
		start_position => "beginning"
		sincedb_path => "/dev/null"		
	}	
}
filter{
	grok{
		match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<events>\{.*\})\|(?<times>[a-zA-Z]+)" }                            //先正则分割每个部分(同时也会分出json格式数据,以便后续调用json类型字段)
		remove_field => [ "message" ]
	}	
	json{                      //取出json格式部分,正常作为json格式的字符串处理
		source => "adv"
		remove_field => [ "adv","events" ]
	}
}
output{    //输出到ES数据库
	elasticsearch{	
	hosts => "http://192.168.56.100:9200"
	index => "mmm"
	document_type => "yyy"
	}
}

#多个文件解析

input {
    file {
        path => "/opt/aa.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        type => "system"                      //为每个文件增加type类型作为条件
    }
    file {
        path => "/opt/bb.txt"
        start_position => "beginning"
        sincedb_path => "/dev/null"
        codec => json
        type => "action"
    }
}
filter {
    if [type] == "system" {                  //过滤时根据type类型转为对单一文件的解析
        grok {
            match => { "message" => "(?<userid>[0-9]+)\|(?<event_name>[a-zA-Z_]+)\|(?<times>[0-9]+)\|(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})" }
            remove_field => ["message"]
        }
    }else {
        mutate {
                add_field => { "adv" => "%{cm}" }
        }
        json {
                source => "adv"
                remove_field => [ "adv","cm" ] 
        }
    }
}
output {                                  //根据type类型输出到不同位置(索引)
    if [type] == "system" {
        elasticsearch {
                hosts => "http://192.168.56.100:9200"
                index => "systems"
                document_type => "sys"
        }
    } else{
        elasticsearch {
                hosts => "http://192.168.56.100:9200"
	index => "customs"
	document_type => "actions"
         }
     }
}

导入到ES数据库

output{  //输出流
	elasticsearch{	  //输出类型:ES数据库
	hosts => "http://192.168.56.100:9200"   //数据库地址
	index => "mmm"                  //数据库索引(数据库名)
	document_type => "yyy"          //数据库类型(表名)
	}
}
yd、夜
关注
logstash-过滤ES数据到新的ES
wzz87的博客
06-24 1083
背景:过滤ES集群中特定类型的某个时间段的数据到新的ES集群 具体操作下: ###类型TCC input{ elasticsearch { hosts => "10.10.x.x:9200" index => "cqct_20200508_03" query => '{"query":{"bool":{"must":[{"range":{"optime":{"gt":"1591754706000","lt":"1591754706006"}}}],"must_n
logstash导入过滤字段
n009ww的博客
06-28 2955
如题,在导入es后,发现会在原有字段中多了一个@version和@timestamp字段,对于强迫症的我是无法接受的,于是查了好久才找到正确的方法。如下 filter { mutate { remove_field => ["@version", "@timestamp", "risktype"] } } ...
logstash grok mysql_logstash使用grok过滤数据
weixin_34511324的博客
01-27 182
有一段线上日志:2020-07-14 11:37:04.556 INFO [com.lyf.action.PlayAction:124] - [ 播放日志 add ] userid: 0 vid: 8079245, vtime: -1┏━━━━━ Debug [native.update d_stcs_month_page set vcount = ifnul...] ━━━┣ SQL: up...
filter过滤器_logstash过滤器插件filter详解及实例
weixin_39550486的博客
11-27 384
logstash过滤器插件filtergrok正则捕获grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式grok的语法规则是:%{语法:语义}“语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样...
LogStash~LogStash的filter(过滤
feizuiku0116的博客
04-20 910
1. Grok:能够将非结构化日志数据解析为结构化和可查询的内容 官方教程 filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}"} } } 2.Geoip:查找 IP 地址,从地址中获取地理位置信息,并将该位置信息添加到日志中。 官方教程 filter { geoip { source => "clientip" } } ...
logstash5.6.1向es导入oracle数据库数据
09-29
通过以上步骤,你可以成功地利用Logstash 5.6.1将Oracle数据库中的数据导入Elasticsearch,实现数据的实时或定期同步,为后续的数据分析和应用提供基础。在这个过程中,理解每个环节的配置选项和逻辑是至关重要的...
logstash数据从mysql导入es所需mysql的jar包
10-22
在本场景中,我们关注的是如何利用Logstash将MySQL数据库中的数据高效地导入ElasticsearchES)中。这个过程通常涉及到几个关键步骤和技术组件,包括配置Logstash的输入、过滤和输出插件,以及确保正确引入必要的...
Logstash安装及数据导入
希望我的博客,能解决你工作中的问题
02-08 987
一、安装前准备 1)下载与ES相同版本号的logstash,(7.1.0),并解压到相应目录 官网下载地址:https://www.elastic.co/cn/downloads/logstash 华为过年镜像地址:https://mirrors.huaweicloud.com/logstash/7.1.0/ 2)下载最MovieLens最小测试数据集 地址:https://grouplens.o...
Logstash导入csv文件到ElasticSearch
xdshust的博客
06-24 974
需求 计划写一系列ElasticSearch如何快速搭建小型搜索系统的文章,需要一些实际数据来展示ElasticSearch的搜索原理,选择使用kaggle公开数据集Movies Dataset,由于是用来展示ElasticSearch的搜索原理,只保留id,name两列,使用Logstash数据导入ElasticSearchLogstash原理 Logstash是一个开源的数据收集引擎,是ELK技术栈中的L。可以完成数据的ETL,方便的将数据导入ElasticSearch等。 Logstash数据
ELK —— Logstash 将 MySQL 数据同步至 ElasticSearch
最新发布
2301_82242204的博客
04-23 1036
是基于Lucence的分布式搜索引擎,也可以作为“数据库”存储一些数据,同类产品还有一个叫做solr的,这里就不做描述谈到面试,其实说白了就是刷题刷题刷题,天天作死的刷。。。。。为了准备这个“金三银四”的春招,狂刷一个月的题,狂补超多的漏洞知识,像这次美团面试问的算法、数据库、Redis、设计模式等这些题目都是我刷到过的并且我也将自己刷的题全部整理成了PDF或者Word文档(含详细答案解析)66个Java面试知识点。
logstash采集与清洗数据elasticsearch案例实战
我的博客
10-28 9521
logstash 的使用 logstash支持把配置写入文件 xxx.conf,然后通过读取配置文件来采集数据 ./bin/logstash –f xxx.conf   logstash最终会把数据封装成json类型,默认会添加@timestamp时间字段、host主机字段、type字段。原消息数据会整个封装进message字段。如果数据处理过程中,用户解析添加了多个字段,则最终结果又会多
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1625
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
使用Filebeat采集日志结合logstash过滤出特定格式的日志至Elasticsearch
热门推荐
Zoey~~
11-24 1万+
使用Filebeat采集日志结合logstash过滤出特定格式的日志 文章目录使用Filebeat采集日志结合logstash过滤出特定格式的日志ELK搭建什么是Filebeat什么是Logstash采用Springboot构建一个Demo测试filebeat.yml配置logstash.conf配置效果展示 ELK搭建 使用外国大佬的开源项目,基本不要改什么就可快速搭建一套单机版ELK用于练手。...
Logstash:运用 Elasticsearch 过滤器来丰富数据
Elastic 中国社区官方博客
06-16 2157
针对 Logstash数据丰富,除了我们之前介绍的 GeoIP 过滤器外,我之前也介绍了 “运用jdbc_streaming来丰富我们的数据”。在今天的文章中,我们介绍如何使用 Elastcsearch 过滤器来丰富我们的数据。 在Elasticsearch中搜索上一个日志事件,并将其中的某些字段复制到当前事件中。 以下是有关如何使用此过滤器的两个完整示例。 第一个示例使用传统查询参数,其中用户仅限于Elasticsearch query_string。 每当logstash收到 “end” 事件时
ELK集群部署(九)之logstash过滤规则
攻城狮JasonLong的博客
07-02 679
logstash过滤规则
Logstash中Mutate过滤器的用法和常见配置项
迪之的博客
12-14 1289
Mutate过滤器是Logstash中一个非常常用的过滤器,它可以用于修改事件中的字段值,添加或删除字段等操作。下面详细介绍Mutate过滤器的用法和常见配置项。
ELKF:日志过滤logstash与存储elasticsearch
天然玩家的博客
01-24 589
- logstash正常工作依赖:Kafka和ES,先启动Kakfa和ES做准备; - 数据流向:Kafka->Logstash->ES; - Logstash配置输入和输出,其中,输入:Kafka,输出:ES,配置index,为后面Kibana统计准备; - 通过接口查询ES数据,测试数据是否正常存储到ES
Logstash过滤详解(一知半解)
zlhmeng的博客
09-26 7063
“我就于茫茫人海中寻我唯一灵魂之伴侣,得之吾幸,失之吾命,如此而已” 搭建ELK时,在Logstash花费了很多的时间,最后也算是摸得个一知半解,话不多说,开始搬砖, 安装不多说,还没搭建的点击→传送门 编辑配置文件 # Sample Logstash configuration for creating a simple # Beats -> Logstash -> Elastic...
Elasticsearch:在 ES|QL 中使用 DISSECT 和 GROK 进行数据处理
Elastic 中国社区官方博客
11-07 1191
你的数据可能包含你想要结构化的非结构化字符串。这使得分析数据变得更加容易。例如,日志消息可能包含你想要提取的 IP 地址,以便你可以找到最活跃的 IP 地址。对于使用过 Logstash 及 Ingest pipeline 的开发者来说,DISSECT 及 GROK 对你们来说并不陌生。Elasticsearch 可以在索引时或查询时构建数据。在索引时,你可以使用和摄取处理器,或 Logstash过滤器。在查询时,你可以使用 ES|QL和命令。在 ES|QL 中使用 DISSECT 和 GROK 进行数据
logstash 导入数据
12-22
以下是使用Logstash从MySQL导入数据Elasticsearch的步骤: 1. 安装Logstash: ```shell sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch sudo yum install logstash ``` 2. 安装Logstash...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值