Logstash中使用gsub实现对字段进行字符串替换

已于 2023-04-20 13:41:15 修改
阅读量6.3k 收藏 2
点赞数
分类专栏: 大数据技术 文章标签: logstash
于 2020-06-27 10:04:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d1240673769/article/details/106979056
版权

使用gsub对事件中指定字段的内容进行替换,官方手册:https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html#plugins-filters-mutate-gsub

gsub语法例子

filter {
      mutate {
        gsub => [
          # 将fieldname字段内容中的"/"替换为"_"
          "fieldname", "/", "_",
          # 将fieldname2字段内容中的反斜杠、问号、井号和减号替换为点
          "fieldname2", "[\\?#-]", "."  # 支持正则匹配待替换的内容
        ]
      }
    }

实例1:将message中的双引号替换成单引号

logstash.conf

input {
        stdin{}
      }

filter {
        mutate {
          gsub => [ "message",'"',"'" ]
        }
}

output {
        stdout{}
}

启动logstash后,输入: curl “127.0.0.1” ,结果如下:
在这里插入图片描述
未进行替换之前的结果如下:
在这里插入图片描述

实例2:将message中的"{"前面的部分替换为空

原始事件为: <134>wszwsc_usm {“logType”: 5, “date”: “2023-04-17 10:32:42”, “userName”: “G_wszw_138”, “sourceIP”: “159.223.23.42”, “accountName”: “root”, “hostIP”: “192.168.104.22”, “ruleID”: 38003056, “cmd”: “ll;”}
将事件中的 <134>wszwsc_usm 去掉

filter {
       mutate {
           gsub => [ "message","^[^\{]+","" ]
      }
}

在这里插入图片描述

Jepson2017
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logstash实战(一)-时间替换字段修改
chuanan6914的博客
03-05 2562
一、源数据 [ { "sn":"8e.05-17.09-10390384", "mediaCode":"pcdn_p3_globo_rj", "startTime":1548316771, "endTime":154831...
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
已对其进行了修改,以支持ClickHouse JSON格式,但还支持容错功能。 用法 请注意,使用时,插件的名称为clickhouse ,它仅支持当前形式的json。 如果将来添加更多的输出格式,则可能会改回json_batch。 output { ...
Logstash常用语法使用介绍
最新发布
Eric_W_的博客
04-07 594
Logstash常用语法使用样例介绍
logstash gsub替换
weixin_30675247的博客
12-07 1374
{ "message" => "192.168.11.186,192.168.11.187\t48391,3306\tDec 7, 2016 13:26:25.134545378\t\tSELECT \\x0a r.trx_id waiting_trx_id,\\x0a r.trx_mysql_thread_id waiting_thread,\\x0a...
Logstash替换字符串,解析json数据,修改数据类型,获取日志时间
weixin_30747253的博客
10-22 1099
在某些情况下,有些日志文本文件类json,但它的是单引号,具体格式如下,我们需要根据下列日志数据,获取正确的字段字段类型 {'usdCnyRate': '6.728', 'futureIndex': '463.36', 'timestamp': '1532933162361'} {'usdCnyRate': '6.728', 'futureIndex': '463.378', 'tim...
(转)Logstash 五种替代方案(Filebeat、Fluentd、rsyslog、syslog-ng 以及 Logagent
silver9886的专栏
04-23 2271
Logstash 五种替代方案(Filebeat、Fluentd、rsyslog、syslog-ng 以及 Logagent
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
Logstash使用遇到的一些坑和解决方案.docx
10-26
Logstash 使用遇到的坑和解决方案 Logstash 是一个功能强大且灵活的数据处理工具,广泛应用于数据采集、处理和输出等领域。但在使用 Logstash 时,会遇到一些问题和坑,以下是其的一些: 1. 无法写入 kafka ...
SpringBoot继承LogStash实现日志收集的方法示例
08-26
本文主要介绍了 SpringBoot 继承 LogStash 实现日志收集的方法示例,旨在帮助开发者快速了解 LogStash 的配置和使用方法。 一、环境准备 在开始之前,需要安装 Elasticsearch、Kibana 和 LogStash,这三个组件是...
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
Logstash配置对IntelliJ的支持 IntelliJ IDE的插件以支持弹性配置文件 特征 语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动...
关于logstashgsub 使用规则
weixin_38073361的博客
02-06 6834
关于logstashgsub 使用规则 先上一个官网 demo 官网例子 filter { mutate { gsub => [ # replace all forward slashes with underscore # 用下划线替换所有的斜杠 "fieldname", "/", "_...
logstash修改字段类型
weixin_39318540的博客
08-24 1578
logstash 可以设置字段的类型为integer,string,float,boolean filter { grok { match => {"message" => "(?<client_ip>%{USERNAME}) - - \[(?<time>[0-9a-zA-Z/: +]+)\] \"%{NOTSPACE:method} %{NOTSPACE:url} %{NOTSPACE}[\"] %{INT:status} %{INT} [\"]%{USE.
Flink 替换 Logstash 解决日志收集丢失问题
字节跳动云原生计算官方账号
11-23 722
ELKibana,功能涵盖了从日志收集、解析、查询、分析、可视化等完整的解决方案。上图描述了 ELK 里各组件的关系,基于 libbeat框架的各种 beats 工具将日志及各种数据进行收集,可以直接写入 ES,也可以先写入到 Logstash 进行解析和处理再写入到 ES。如下图所示,Logstash 主要包括三个部分:输入插件:负责从各种不同的 source 读取数据,如文件、beats、Kafka等;
Logstash之开启\r\t\n等特殊字符转义
weixin_33970449的博客
05-07 3940
2019独角兽企业重金招聘Python工程师标准>>> ...
logstash gsub替换\n 回车。 实现在Kibana的真换行,而不是显示\n
DianWen119的博客
01-28 1444
网上那些 替换 \n 为这个那个的。就是做不出真的换行。太low 了。 input{ file { path => "/tmp/1.log" codec => multiline { pattern => "^#" negate => true what => "previous" } } } filter { mutate { gsub => [ "message", "\\n", "\n\r" ] } } output{ stdout { codec => ru
Logstash将日志产生时间替换@timestamp,并保留日志收集时间到其他字段
qq_33999844的博客
06-15 2933
1.需求 EFK日志系统采集日志时,采集时间和日志真正生成的时间会有差异,开发一般需要根据日志真正的生成时间在kibana进行查询 2.解决方案 将收集到的日志的时间抽取出来,替换默认的@timestamp字段(将@timestamp字段赋值给其他字段用来记录) logstash的配置(测试环境): filter { grok { match => { "message" => "(\s*%{TIMESTAMP_ISO8601:timestamp}\s*.
ELK应用之Logstash 数据转换
Kason_iWiki
01-16 1870
1. Logstash Logstash 是开源的数据处理管道,能够同时出来从多个源采集数据,转换数据,然后输出数据 2. Logstash架构介绍 Logstash 的基础架构类型pipeline流水线 input: 数据采集(常用插件:stdin,file,kafka,beat,http) Fileter:数据解析/转换(常用插件:grok,date,geoip,mutate,userag...
Logstash使用指南
技术人集结地
11-30 2540
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集、转换和存储数据是Logstash的典型用法。输入:采集各种样式、大小和来源的数据。
关于logstashgsub 替换 \\n
05-20
Logstashgsub过滤器可用于查找并替换文本的字符串。如果您想要替换一个字符串的"\n",可以使用以下代码示例: ``` filter { mutate { gsub => [ "message", "\\\\n", "\n" ] } } ``` 这里有几点需要注意: 1. 在正则表达式,反斜杠是一个转义字符,因此在查找反斜杠时需要使用四个反斜杠("\\\\\\")。 2. 在替换字符串,只需要使用一个反斜杠("\n")。 3. 这个过滤器将会查找 "message" 字段的所有 "\n" 并将它们替换为换行符。 希望这可以帮助您解决问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jepson2017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值