logstash grok正则语法规则

最新推荐文章于 2024-07-02 16:31:02 发布
最新推荐文章于 2024-07-02 16:31:02 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: Linux ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baijiu1/article/details/94741546
版权
Linux 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
ELK
1 篇文章 0 订阅
订阅专栏

这几天一直在研究ELK的搭建和使用,遇到logstash 的grok模块的时候,被困扰了很久,网上搜索很多资料,大部分都是残缺不全的并且很多都是“点到为止”

grok语法详解

为了理解方便,我们先来举一个例子更加直观:

2019-06-18T16:21:17.237207+08:00 12350 [Note] Aborted connection 12350 to db: ‘imchat’ user: ‘db_im_chenyongyang_201811’ host: ‘192.168.0.67’ (Got timeout reading communication packets)

2019-06-18T16:21:59.761223+08:00 18306 [Note] Aborted connection 18306 to db: ‘imchat’ user: ‘db_im_chenyongyang_201811’ host: ‘192.168.0.65’ (Got timeout reading communication packets)

2019-06-18T16:57:45.311404+08:00 18305 [Note] Aborted connection 18305 to db: ‘imchat’ user: ‘db_im_chenyongyang_201811’ host: ‘192.168.0.65’ (Got timeout reading communication packets)

以上为mysql所产生的日志
以下为grok正则匹配语句:

(?[0-9]±\d±\d+T\d+:\d+:\d+.\d++\d+:\d+) %{NUMBER:num} (?[\w+]) (?\w+\s\w+) (?\d+) (?\w+\s\w+:) (?’\w+’) (?\w+:) (?’\w+’) (?\w+:) ‘%{IP:client}’ (?([a-zA-Z]+.*))

结果为:

{
“timestamp”: [
[
“2019-06-18T16:57:45.311404+08:00”
]
],
“num”: [
[
“18305”
]
],
“BASE10NUM”: [
[
“18305”
]
],
“message”: [
[
“[Note]”
]
],
“conn”: [
[
“Aborted connection”
]
],
“threadid”: [
[
“18305”
]
],
“db”: [
[
“to db:”
]
],
“database”: [
[
“‘imchat’”
]
],
“char”: [
[
“user:”
]
],
“username”: [
[
“‘db_im_chenyongyang_201811’”
]
],
“host”: [
[
“host:”
]
],
“client”: [
[
“192.168.0.65”
]
],
“IPV6”: [
[
null
]
],
“IPV4”: [
[
“192.168.0.65”
]
],
“eoormessages”: [
[
“(Got timeout reading communication packets)”
]
]
}

grok有两种匹配模式:
第一种:
给定关键字匹配,这种匹配模式的语法固定为:%{IP:clent}
%{IP:clent}中,IP为关键字,由grok给出,冒号后面为标签,可以自己定义。
第二种:
自由模式匹配,这种匹配模式的语法固定为:(?<lablename>regexp)
(?<lablename>regexp)中,lablename代表标签名,是自己定义的,后面的regexp为匹配的正则表达式

在写入grok配置时,可以先到: http://grokdebug.herokuapp.com/ 这个网址去先写匹配表达式,然后再复制到配置文件中

叶落千尘
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK grok规则分析
友人A的博客
01-19 3609
前提: ELK服务器已经部署:ELK7.5 需求: 需要采集路由器NAT访问记录,查看被远程访问的次数 一、路由器 1、开启NAT日志功能 <MSR56> system-view [MSR56] nat log enable 2、开启NAT新建、删除会话和活跃流的日志功能 #根据需求选择开启,这里为了减少日志输出没有开启删除会话记录 [MSR56] nat log flow-begin [MSR56] nat log flow-active 10 3、配置Flow.
grok规则常用表达式
weixin_34247155的博客
05-18 3104
grok规则常用表达式● USERNAME 或 USER用户名,由数字、大小写及特殊字符(._-)组成的字符串比如:1234、Bob、Alex.Wong等● EMAILLOCALPART电子邮件用户名部分,首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=:)组成的字符串。注意,国内的QQ纯数字邮箱账号是无法匹配的,需要修改正则比如:stone、Gary_Lu、...
logstash grok 规则
hongchenshijie的博客
04-21 294
logstash grok 规则
Logstash——grok
最新发布
Lzcsfg的博客
07-02 976
1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端并存储到esinput {tcp {filter {grok {output {stdout {​1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端input {tcp {filter {grok {output {stdout {​INT (?:[+-]?:[0-9]+))
logstashgrok插件自定义规则学习
最美dee时光的博客
12-10 533
1、前言 近期通过ELK(Elasticsearch, Logstash, Kibana)对Nginx产生的日志进行采集,但是在对nginx的日志格式进行预处理的时候使用到了logstashgrok的插件,特意在此为大家分享下个人的学习总结。 2、Grok提供的常用Patterns说明及举例 要学习Grok的默认表达式,我们就要找到它的具体配置路径,路径如下: patterns路径 [logstash安装路径]/vendor/bundle/jruby/x.x.x/gems/logstash-pattern
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1600
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstash-filter-grok-4.0.4.zip
01-15
Grok 的工作原理类似于正则表达式,但提供了更丰富的语法和灵活性,允许处理复杂的日志格式。 1. **Grok 模式和语法** Grok 使用一种特定的语法,其中包括百分号 `%{PATTERN}` 来表示预定义或自定义的模式。例如,...
logstash-8.4.2-windows-x86_64.zip
09-21
配置文件遵循特定的语法,每个处理阶段(输入、过滤、输出)都被定义在一个独立的代码块中,通过 `input {}`、`filter {}` 和 `output {}` 关键字区分。 **命令行使用**:安装完成后,可以通过命令行启动 Logstash...
Logstashlogstash-8.6.0-darwin-x86-64.tar.gz)
01-24
它以其强大的数据处理能力,灵活的配置语法以及与Elastic Stack(包括Elasticsearch、Kibana和Beats)的紧密集成而闻名。在提供的压缩包"Logstashlogstash-8.6.0-darwin-x86_64.tar.gz)"中,包含的是适用于macOS ...
Logstash数据收集引擎介绍.pdf
10-14
- Logstash拥有丰富的插件库,包括输入插件(如logstash-input-file用于读取文件)、输出插件(如logstash-output-elasticsearch用于发送数据到Elasticsearch)和过滤插件(如logstash-filter-grok用于解析日志)。...
grok语法定义
weixin_30610755的博客
08-22 2817
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 常用表达式 表达式标识 名称 详情 匹配例子 USERNAME 或 USER 用户名 ...
logstash不能匹配中文
nanjizhiyin的专栏
06-14 3579
不要使用自带的匹配,自己写一个就好了filter{ ...
logstash grok匹配
weixin_34138139的博客
07-03 133
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstashgrok匹配解析
热门推荐
格子的博客
05-04 2万+
使用ELK收集日志时往往会接一层logstash对日志进行我们想要的格式解析,方便后面统计分析。测试可以直接放到Kibana DEV Tools页面中进行测试。 使用grok直接解析方式 # 这个解析方式是最原生态的一个解析方式,需要一个字段或一个字符进行匹配,不能重叠或者漏掉否则解析不了。--[T ]代表一个空格,可以使用空格表示,也可以使用[T ]表示 # Sample Data 2019...
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2771
文章目录前言一、grok-patterns二、自定义grok-patterns(正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
一些常用的正则匹配规则
aedggd的专栏
05-26 510
一些常用的正则匹配规则   匹配中文字符的正则表达式: [u4e00-u9fa5]   评注:匹配中文还真是个头疼的事,有了这个表达式就好办了   匹配双字节字符(包括汉字在内):[^x00-xff]   评注:可以用来计算字符串的长度(一个双字节字符长度计2,ASCII字符计1)   匹配空白行的正则表达式:ns*r   评注:可以用来删除空白行   匹配HTML标记的正则表达式:
Logstash Grok详解
叱咤少帅的博客
03-18 1万+
介绍 LogstashGrok 可以使蹩脚的、无结构的日志内容结构化 需要注意的地方 grok 模式是正则表达式,因此这个插件的性能受到正则表达式引擎严重影响,效率并不高。如果通过给定的匹配格式匹配不上会Kibana查询的时候打上tag 为 grok failed 的标签 语法详解 grok模式的语法如下: %{SYNTAX:SEMANTIC} SYNTAX:代表匹配值的类型,例如3.44可以...
Graylog之Grok解析
这有一片海的博客
12-24 1142
通常情况下,原始日志被采集上来之后,需要通过编写正则进行日志字段的解析,以便用来进行日志分析,看板的制作。
logstash + grok 正则语法
05-24
下面是一些常用的Grok正则语法: 1. 基本语法: %{PATTERN:fieldName},将匹配的部分存储在指定的字段中。 2. 匹配数字: %{NUMBER:fieldName}。 3. 匹配IP地址: %{IP:fieldName}。 4. 匹配日期: %{DATESTAMP:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值