Logstash中使用gsub实现对字段进行字符串替换

已于 2023-04-20 13:41:15 修改
阅读量6.3k 收藏 2
点赞数
分类专栏: 大数据技术 文章标签: logstash
于 2020-06-27 10:04:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d1240673769/article/details/106979056
版权

使用gsub对事件中指定字段的内容进行替换,官方手册:https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html#plugins-filters-mutate-gsub

gsub语法例子

filter {
      mutate {
        gsub => [
          # 将fieldname字段内容中的"/"替换为"_"
          "fieldname", "/", "_",
          # 将fieldname2字段内容中的反斜杠、问号、井号和减号替换为点
          "fieldname2", "[\\?#-]", "."  # 支持正则匹配待替换的内容
        ]
      }
    }

实例1:将message中的双引号替换成单引号

logstash.conf

input {
        stdin{}
      }

filter {
        mutate {
          gsub => [ "message",'"',"'" ]
        }
}

output {
        stdout{}
}

启动logstash后,输入: curl “127.0.0.1” ,结果如下:
在这里插入图片描述
未进行替换之前的结果如下:
在这里插入图片描述

实例2:将message中的"{"前面的部分替换为空

原始事件为: <134>wszwsc_usm {“logType”: 5, “date”: “2023-04-17 10:32:42”, “userName”: “G_wszw_138”, “sourceIP”: “159.223.23.42”, “accountName”: “root”, “hostIP”: “192.168.104.22”, “ruleID”: 38003056, “cmd”: “ll;”}
将事件中的 <134>wszwsc_usm 去掉

filter {
       mutate {
           gsub => [ "message","^[^\{]+","" ]
      }
}

在这里插入图片描述

Jepson2017
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logstash实战(一)-时间替换字段修改
chuanan6914的博客
03-05 2562
一、源数据 [ { "sn":"8e.05-17.09-10390384", "mediaCode":"pcdn_p3_globo_rj", "startTime":1548316771, "endTime":154831...
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
已对其进行了修改,以支持ClickHouse JSON格式,但还支持容错功能。 用法 请注意,使用时,插件的名称为clickhouse ,它仅支持当前形式的json。 如果将来添加更多的输出格式,则可能会改回json_batch。 output { ...
Logstash常用语法使用介绍
最新发布
Eric_W_的博客
04-07 577
Logstash常用语法使用样例介绍
关于logstashgsub 使用规则
weixin_38073361的博客
02-06 6833
关于logstashgsub 使用规则 先上一个官网 demo 官网例子 filter { mutate { gsub => [ # replace all forward slashes with underscore # 用下划线替换所有的斜杠 "fieldname", "/", "_...
Logstash ——filter 四大过滤插件
q1y2y3的博客
07-12 1330
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
logstash gsub替换
weixin_30675247的博客
12-07 1373
{ "message" => "192.168.11.186,192.168.11.187\t48391,3306\tDec 7, 2016 13:26:25.134545378\t\tSELECT \\x0a r.trx_id waiting_trx_id,\\x0a r.trx_mysql_thread_id waiting_thread,\\x0a...
logstash修改字段类型
weixin_39318540的博客
08-24 1576
logstash 可以设置字段的类型为integer,string,float,boolean filter { grok { match => {"message" => "(?<client_ip>%{USERNAME}) - - \[(?<time>[0-9a-zA-Z/: +]+)\] \"%{NOTSPACE:method} %{NOTSPACE:url} %{NOTSPACE}[\"] %{INT:status} %{INT} [\"]%{USE.
基于logstash实现日志文件同步elasticsearch
01-19
将本地磁盘存储的日志文件同步(全量同步、实时增量同步)到ES。 2、源文件: [root@5b9dbaaa148a test_log]# ll -rwxrwxrwx 1 root root 170 Jul 5 08:02 logmachine.sh -rw-r--r-- 1 root root 66 Jul 5 08:...
Logstash使用遇到的一些坑和解决方案.docx
10-26
Logstash 使用遇到的坑和解决方案 Logstash 是一个功能强大且灵活的数据处理工具,广泛应用于数据采集、处理和输出等领域。但在使用 Logstash 时,会遇到一些问题和坑,以下是其的一些: 1. 无法写入 kafka ...
SpringBoot继承LogStash实现日志收集的方法示例
08-26
本文主要介绍了 SpringBoot 继承 LogStash 实现日志收集的方法示例,旨在帮助开发者快速了解 LogStash 的配置和使用方法。 一、环境准备 在开始之前,需要安装 Elasticsearch、Kibana 和 LogStash,这三个组件是...
logstash-intellij-plugin:Logstash配置对IntelliJ IDE的支持
03-07
Logstash配置对IntelliJ的支持 IntelliJ IDE的插件以支持弹性配置文件 特征 语法高亮 关键字补全 大括号匹配 自动评论 安装 使用IDE内置插件系统: 文件>设置>插件>浏览存储库... >搜索“ logstash” >安装插件 手动...
logstash gsub替换\n 回车。 实现在Kibana的真换行,而不是显示\n
DianWen119的博客
01-28 1436
网上那些 替换 \n 为这个那个的。就是做不出真的换行。太low 了。 input{ file { path => "/tmp/1.log" codec => multiline { pattern => "^#" negate => true what => "previous" } } } filter { mutate { gsub => [ "message", "\\n", "\n\r" ] } } output{ stdout { codec => ru
ELK应用之Logstash 数据转换
Kason_iWiki
01-16 1866
1. Logstash Logstash 是开源的数据处理管道,能够同时出来从多个源采集数据,转换数据,然后输出数据 2. Logstash架构介绍 Logstash 的基础架构类型pipeline流水线 input: 数据采集(常用插件:stdin,file,kafka,beat,http) Fileter:数据解析/转换(常用插件:grok,date,geoip,mutate,userag...
Logstash将日志产生时间替换@timestamp,并保留日志收集时间到其他字段
qq_33999844的博客
06-15 2933
1.需求 EFK日志系统采集日志时,采集时间和日志真正生成的时间会有差异,开发一般需要根据日志真正的生成时间在kibana进行查询 2.解决方案 将收集到的日志的时间抽取出来,替换默认的@timestamp字段(将@timestamp字段赋值给其他字段用来记录) logstash的配置(测试环境): filter { grok { match => { "message" => "(\s*%{TIMESTAMP_ISO8601:timestamp}\s*.
Logstash原理介绍及应用
热门推荐
长沙老码农
01-29 2万+
目录 1、Logstash安装 2、Logstash原理 2.1 输入、过滤器和输出 2.2 采集各种样式、大小和来源的数据 2.3 实时解析和转换数据 2.4 导出数据 3、 LogStash入门使用 3.1 Input插件 4、Logstash高级使用 4.1 jdbc插件 4.2 syslog插件 4.3 filter插件 4.4 Output插件 logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好.
Logstash使用指南
技术人集结地
11-30 2525
Logstash是一个开源数据收集引擎,具有实时管道功能。它可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。尽管Logstash的早期目标是搜集日志,现在它的功能已完全不只于此。任何事件类型都可以加入分析,通过输入、过滤器和输出插件进行转换。与此同时,还提供了很多原生编解码工具简化消息处理。Logstash通过海量数据处理和多种多样的数据格式支持延伸了我们对数据的洞察力。集、转换和存储数据是Logstash的典型用法。输入:采集各种样式、大小和来源的数据。
1.logstash实现敏感信息脱敏及超长字符截取
wang37444的专栏
05-07 4139
我们通过filebeat收集的日志通常没有进行敏感信息的脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。 针对这两个问题我们可以进行如下配置: 1.设置超长字符截取 进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下: filter { if [type] == "filebeat" { grok ...
Logstash之开启\r\t\n等特殊字符转义
weixin_33970449的博客
05-07 3938
2019独角兽企业重金招聘Python工程师标准>>> ...
elasticsearch数据迁移之logstash
菜鸟运维升级之路
11-04 1827
通过第五章内容,我们了解到了elasticdump工具只适合es数据量较小,且索引不是很多、很多的情况下适用,即大部分情况用于备份单个索引。但是在实际生产环境,迁移整个es集群数据的次数也很多,因此elasticdump就很不适用,如果强硬使用还会导致服务器磁盘IO及CPU过高,容易产生告警,所以本篇文章再给大家推荐一个适用于生产环境的迁移工具logstash。本次分享的logstash迁移方法,最重要的一点就是源es和目标es网络要互相通,如果不通,这种方法会迁移失败。
关于logstashgsub 替换 \\n
05-20
Logstashgsub过滤器可用于查找并替换文本的字符串。如果您想要替换一个字符串的"\n",可以使用以下代码示例: ``` filter { mutate { gsub => [ "message", "\\\\n", "\n" ] } } ``` 这里有几点需要注意: 1. 在正则表达式,反斜杠是一个转义字符,因此在查找反斜杠时需要使用四个反斜杠("\\\\\\")。 2. 在替换字符串,只需要使用一个反斜杠("\n")。 3. 这个过滤器将会查找 "message" 字段的所有 "\n" 并将它们替换为换行符。 希望这可以帮助您解决问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jepson2017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值