Logstash的KV模式自动将数字转换成整数

最新推荐文章于 2023-10-18 15:27:37 发布
最新推荐文章于 2023-10-18 15:27:37 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: ELK 文章标签: logstash elasticsearch ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cikenerd/article/details/73740776
版权

logstash的kv模式分割后的全部字符在Elasticsearch里面的数据类型全都是string,这样聚合搜索很不方便,于是利用ruby插件实现一下自动转整数的kv模式

## logstash 5.x,由于logstash5.x不支持直接修改值,直接把值copy出来修改然后重新写进去
filter {
    ruby {
        code => "
            fieldArray = event.get('[message][message]').split(/\u001F/);
            kv = {};
            for field in fieldArray
                name = field.split('=')[0];
                value = field.split('=')[1];
                if value =~ /\A\d+\Z/
                    kv[name]=value.to_i
                else
                    kv[name]=value
                end
            end
            event.set('[monitor]',kv);
        "
    remove_field => ["[message][message]"]
    }
}
### logstash 2.x
filter{
    ruby {
        code => "
            fieldArray = event['message'].split(/\u001F/);
            for field in fieldArray
                name = field.split('=')[0];
                value = field.split('=')[1];
                if value =~ /\A\-?\d+\Z/
                    event[name] = value.to_i
                else
                    event[name] = value
                end
            end
        "
    }
}
cikenerd
关注
专栏目录
基于 Flink 的百亿数据去重实践
http://www.54tianzhisheng.cn/
09-22 1761
在工作中经常会遇到去重的场景,例如基于 App 的用户行为日志分析系统,用户的行为日志从手机客户端上报到 Nginx 服务端,通过 Logstash、Flume 或其他工具将日志从 Nginx 写入到 Kafka 中。 由于用户手机客户端的网络可能出现不稳定,所以手机客户端上传日志的策略是:宁可重复上报,也不能丢日志。所以导致 Kafka 中必然会出现日志重复的情况,即:同一条日志出现了 2 条或...
【企业架构设计实战】技术架构设计指南
程序员光剑
02-08 1万+
提到非功能性,技术架构可能涉及多个方面,如稳定性、可扩展性、一致性、可移植性、兼容性、可配置性、可降级性、可部署性、可发现性、故障透明性、容错性、可检验性、可安装性、完整性、可维护性、可管理性、模块性、可操作性、可恢复性、可靠性、重现性、弹性、可复用性、稳健性、安全性、可服务性、合规性、可持续性、可测试性、可追溯性等。很多企业在发展初期,在技术方面的投入并不大,主要以外采系统为主,包括CRM、MES、ERP、HR、PLM、SCM等系统,各个系统各自独立,各自有单独的数据库及权限管理。
logstash 嵌套解析kv数据
ToLightElegantly的博客
05-06 1589
input{ ... } filter{ kv{ source=>"message" field_split => " " value_split => ":" } } filter{ kv{ source=>"header" //header字段是message里面包含的字段,此字段内容可以继续切分 field_s...
ELK logstash KV过滤插件
小楼一夜听春雨,深巷明朝卖杏花
12-21 1619
过滤插件:通用配置字段 add_field 如果过滤成功,添加一个字段到这个事件 add_tags 如果过滤成功,添加任意数量的标签到这个事件 remove_field 如果过滤成功,从这个事件移除任意字段 remove_tag 如果过滤成功,从这个事件移除任意标签 Description This filter helps automatically parse messages (or specific event fields) which are of thefoo=b..
Logstash~filter.kv插件使用教程(附带示例)
feizuiku0116的博客
04-28 2067
一、kv介绍 用于解析key=value类型的消息,可以配置任意字符串来拆分数据,不一定非要用=符号,kv对的间隔也不一定非要用空格 二、allow_duplicate_values 功能:允许重复键值对 介绍:默认为true,两个相同的键值对都会被放到数组中,如果设置为false,则相同的键值对只会显示一个 filter{ kv { source => "message" # 允许重复键值对 allow_duplicate => "t
logstash将json日志事件自动解析成KV字段
Jepson的博客
10-22 1074
logstash自动解析json日志
Logstash系列:kv拦截器的使用
NIO4444
05-18 983
原始数据 ip=1.2.3.4 error=REFUSED kv filter { kv { } } 结果 ip: 1.2.3.4 error: REFUSED
JAVA上百实例源码以及开源项目源代码
12-11
Java 数字签名、数字证书生成源码 2个目标文件 摘要:JAVA源码,系统相关,数字签名,数字证书 Java 数字签名、数字证书的相关实例。 关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用...
Golang笔记
最新发布
怨行客
10-18 468
协程是用户态轻量级线程协程是线程调度的基本单位通常在函数前加上go关键字就能实现并发。一个Goroutine会以一个很小的栈启动2KB或4KB,当遇到栈空间不足时,栈会自动伸缩, 因此可以轻易实现成千上万个goroutine同时启动。
大数据Hadoop、Hive、Kafka、Hbase、Spark等框架面经
m0_46689661的博客
12-05 9744
大数据Hadoop、Hive、Kafka、Hbase、Spark等框架面经
16进制转换器,超实用
05-12
16进制转换器,超实用 在浮点数和16进制之间转换,包括单精度和双精度
logstash插件参数类型
johnhuster的专栏
12-08 380
logstash插件参数类型
logstash时间戳转换
热门推荐
小龙在线
12-11 2万+
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。
Logstash使用KV解析如何处理空白字段
weixin_42478365的博客
04-01 966
当使用KV解析时,如果数据中有的字段值为空值时,即 srcIp= DstIP= 在elastic上会出现如下的解析 scrIP: DstIP= 解决方案 在使用KV解析数据之前先使用mutate gsub进行替换,替换格式如下: mutate { gsub => [ 'message', '= ', '="" ' ] } 或者 mutate { gsub => [ 'message', '= ', '=" " ' ] } 即=(空格)替换为=""(空格) 或者 把=(空格)替换为="(
logstash对于String类型的时间转成long
格物致知
09-20 5379
在工作中,遇到传过来的是时间字符串yyyy-MM-dd HH:mm:ss,用到logstash时需要先把这种时间转换成long,然后进行存储操作。 上config代码:input{ stdin{ # codec=>rubydebug } } filter{ # codec=>rubydebug mutate{ split=>["message"," "]
分布式日志收集之Logstash 笔记(一)
阿★永
10-20 1194
(一)logstash是什么? logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好,非常简洁强大,经常与ElasticSearch,Kibana配置,组成著名的ELK技术栈,非常适合用来做日志数据的分析。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如MySQL,redis,kakfa,...
logstash简介
qq_29322593的博客
01-31 442
简介 Elasticsearch是当前主流的分布式大数据存储和搜索引擎,可以为用户提供强大的全文本检索能力,广泛应用于日志检索,全站搜索等领域。Logstash作为Elasicsearch常用的实时数据采集引擎,可以采集来自不同数据源的数据,并对数据进行处理后输出到多种输出源,是Elastic Stack 的重要组成部分。本文从Logstash的工作原理,使用示例,部署方式及性能调优等方面入手,为大家提供一个快速入门Logstash的方式。 Logstash工作原理 Logstash事件处理管道有三个阶段:
LogStash~LogStash的工作原理
feizuiku0116的博客
04-20 412
LogStash事件处理管道具有三个阶段:input->filter->output。input生成事件,filter修改它们,output将它们发送到其他地方。input和output支持编解码器,能够在数据进入或退出管道时对其进行编码或解码,而无需使用单独的过滤器 1.input input插件的官方文档 使用输入将数据输入LogStash,一些常用的输入包括: file:从文件系统上的文件中读取 syslog:在514端口上监听syslog消息并根据RFC3164格式进行解析 beats
Logstash常用插件的使用
dayi_123的博客
04-03 7557
Logstash常用插件的使用        Elk作为日志收集分析系统,除了使用filebeat及logstash等工具收集日志外,另一个重要的功能就是分析日志,分析日志是依据日志中的一些关键字段对日志进行切段取值,所以,在分析日志前就需要将这些关键字段取出来。logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出...
logstash kv
09-02
它可以将包含键值对的文本进行解析,并将其转换为结构化的 JSON 格式,方便后续的数据处理和分析。 使用 kv 插件,你可以定义一个键值对的分割符和键值对之间的分隔符,然后将日志数据中的键值对提取出来,并按照...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值