Logstash~filter.kv插件使用教程(附带示例)

已于 2022-11-18 13:13:43 修改
阅读量1.9k 收藏 5
点赞数 3
分类专栏: Elastic 文章标签: bash 开发语言 elasticsearch
于 2022-04-28 18:40:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feizuiku0116/article/details/124480801
版权

一、kv介绍

用于解析key=value类型的消息,可以配置任意字符串来拆分数据,不一定非要用=符号,kv对的间隔也不一定非要用空格

二、allow_duplicate_values

  • 功能:允许重复键值对
  • 介绍:默认为true,两个相同的键值对都会被放到数组中,如果设置为false,则相同的键值对只会显示一个
filter{
    kv {
        source => "message"
        # 允许重复键值对
        allow_duplicate => "true"
    }
}

{
    "age": [
        "20",
        "20"
    ],
    "message": "name=瑞文 age=20 name=瑞文 age=20",
    "name": [
        "瑞文",
        "瑞文"
    ]
}

filter{
    kv {
        source => "message"
        # 不允许重复键值对
        allow_duplicate => "false"
    }
}

{
    "age": "20",
    "message": "name=瑞文 age=20 name=瑞文 age=20",
    "name": "瑞文",
}

三、allow_empty_values

  • 功能:允许空值
  • 介绍:默认为false,不允许空值,如果配置为true,则可以匹配name=这样的字符
filter{
    kv {
        source => "message"
        # 允许空字段
        allow_empty_values => "true"
    }
}

{
    "message": "name=",
    "name": "",
}

filter{
    kv {
        source => "message"
        # 不允许空字段
        allow_empty_values => "false"
    }
}

{
    "message": "name="
}

四、default_keys

  • 功能:添加默认的key
  • 介绍:如果匹配的内容中不含有指定的key,就将key添加到字段中,指定的数组内元素数量必须为双数,单数下标的元素是value,双数下标的元素是key(0基)
filter{
    kv {
        source => "message"
        # 添加默认键值对
        default_keys => ["from","123@com"]
    }
}

{
    "from": "123@com",
    "message": "name=奥拉夫",
    "name": "奥拉夫"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message": "name=奥拉夫",
    "name": "奥拉夫"
}

五、recursive

  • 功能:递归解析字段
  • 介绍:默认为false,如果设置为true,字段中只要还有=符号就一直解析,放到子字段中
filter{
    kv {
        source => "message"
        # 递归解析字段
        recursive => "true"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=type1=type2=战士",
       "name" => "泰达米尔",
        "age" => "20",
       "type" => {
        "type1" => {
            "type2" => "战士"
        }
    }
}

filter{
    kv {
        source => "message"
        remove_field => [
            "log","@timestamp","@version","tags","service","host","event"
        ]
    }
}

{
    "message" => "name=泰达米尔 age=20 type=type1=type2=战士",
       "name" => "泰达米尔",
        "age" => "20",
       "type" => "type1=type2=战士"
}

六、field_split

  • 功能:字段拆分字符
  • 介绍:默认为" ",可以更改拆分键值对的间隔字符,用正则表示,可以指定多个字符,多个字符是或的关系
filter{
    kv {
        source => "message"
        # 将键值对的分隔符修改为&
        field_split => "&"
    }
}

{
    "sex": "男",
    "message": "name=泰隆&age=19&sex=男",
    "name": "泰隆",
    "age": "19"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message": "name=泰隆&age=19&sex=男",
    "name": "泰隆&age=19&sex=男"
}

filter{
    kv {
        source => "message"
        # 使用&或者?作为分隔字符
        field_split => "&?"
    }
}

{
    "sex": "男",
    "message": "name=泰隆&age=19&sex=男?type=刺客",
    "name": "泰隆",
    "age": "19",
    "type": "刺客"
}

七、field_split_pattern

  • 功能:字段分隔正则匹配模式
  • 介绍:优先级高于field_split,可以自定义需要正则模式匹配键值对间隔
filter{
    kv {
        source => "message"
        # 匹配一个或多个:
        field_split_pattern => ":+"
    }
}

{
    "sex": "男",
    "message": "name=泰隆:age=19::sex=男::::::type=刺客",
    "name": "泰隆",
    "age": "19",
    "type": "刺客"
}

filter{
    kv {
        source => "message"
        # 匹配两个+
        field_split_pattern => "\+\+"
    }
}

{
         "k4" => "v4",
    "message" => "k1=v1++k2=v2++k3=v3++k4=v4",
         "k3" => "v3",
         "k2" => "v2",
         "k1" => "v1"
}

八、include_brackets

  • 功能:排除括号
  • 介绍:默认为true,会将(123)这种value识别为123,忽略两遍的括号
filter{
    kv {
        source => "message"
        # 排除字段中的括号
        include_brackets => "true"
    }
}

{
        "age" => "20",
    "message" => "name=(泰达米尔) age=(20)",
       "name" => "泰达米尔"
}

filter{
    kv {
        source => "message"
        # 不排除字段中的括号
        include_brackets => "false"
    }
}

{
        "age" => "(20)",
    "message" => "name=(泰达米尔) age=(20)",
       "name" => "(泰达米尔)"
}

九、exclude_keys

  • 功能:排除字段
  • 介绍:在匹配到的键值对中,把指定key的键值对排除掉
filter{
    kv {
        source => "message"
        # 排除age字段
        exclude_keys => ["age"]
    }
}

{
    "sex": "男",
    "message": "name=泰隆 age=19 sex=男",
    "name": "泰隆"
}

filter{
    kv {
        source => "message"
    }
}

{
    "sex": "男",
    "age": "19",
    "message": "name=泰隆 age=19 sex=男",
    "name": "泰隆"
}

十、include_keys

  • 功能:添加字段
  • 介绍:默认为匹配到的全体数组,如果设置了这一项,则只显示这一项配置的匹配到的字段
filter{
    kv {
        source => "message"
        # 只显示匹配到的name和age字段
        include_keys => ["name","age"]
    }
}

{
        "age" => "20",
    "message" => "name=泰达米尔 age=20 type=战士",
       "name" => "泰达米尔"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士",
       "name" => "泰达米尔",
        "age" => "20",
       "type" => "战士"
}

十一、prefix

  • 功能:添加字段前缀
  • 介绍:设置一个字符串,可以添加到所有匹配到的key中
filter{
    kv {
        source => "message"
        # 在匹配到的key中添加test_前缀
        prefix => "test_"
    }
}

{
      "message" => "name=泰达米尔 age=20 type=战士",
     "test_age" => "20",
    "test_type" => "战士",
    "test_name" => "泰达米尔"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士",
       "name" => "泰达米尔",
        "age" => "20",
       "type" => "战士"
}

十二、remove_char_key

  • 功能:移除key中的字符串
  • 介绍:指定符号,删除key中的这些符号,支持正则表达式
filter{
    kv {
        source => "message"
       # 删除key中包含的指定字符
        remove_char_key => "+-"
    }
}

{
     "type" => "战士",
    "message" => "+name=泰达米尔 a-ge=20 ty+-pe=战士",
      "name" => "泰达米尔",
       "age" => "20"
}

十三、remove_char_value

  • 功能:移除value中的字符串
  • 介绍:指定符号,删除value中的这些符号,支持正则表达式
filter{
    kv {
        source => "message"
       # 删除value中包含的指定符号
        remove_char_value => "<>"
    }
}

{
    "message" => "name=泰达<米尔 age=2>0 type=战<>士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

十四、source

  • 功能:指定要执行key=value的字段
  • 介绍:指定一个字段按照key=value进行解析,默认解析message字段,也可以指定其他字段
input{
    syslog{
        port => "514"
       # 添加一个字段
        add_field => {"test" => "testKey=testValue"}
    }

}
filter{
    kv {
    	# 将解析字段变为test
        source => "test"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士",
       "test" => "testKey=testValue",
    "testKey" => "testValue"
}

十五、target

  • 功能:目标字段
  • 介绍:将key=value解析出来的结果放到指定的字段下,默认键值对在最外层
filter{
    kv {
        source => "message"
       # 将解析出来的结果保存到test字段下
        target => "test"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士",
       "test" => {
        "name" => "泰达米尔",
         "age" => "20",
        "type" => "战士"
    }
}

十六、transform_key

  • 功能:改变key
  • 介绍:可选值:lowercase、uppercase、capitalize,将key转换为选择的模式
filter{
    kv {
        source => "message"
       # 将key中的字母变为小写
        transform_key => "uppercase"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士",
        "AGE" => "20",
       "NAME" => "泰达米尔",
       "TYPE" => "战士"
}

十七、transform_value

  • 功能:改变value
  • 介绍:可选值:lowercase、uppercase、capitalize,将value转换为选择的模式
filter{
    kv {
        source => "message"
       # 将value中的字母变为大写
        transform_value => "uppercase"
    }
}

{
    "message" => "name=泰达米尔 age=20 type=战士 sex=m",
       "name" => "泰达米尔",
       "type" => "战士",
        "sex" => "M",
        "age" => "20"
}

十八、trim_key

  • 功能:修建key字段
  • 介绍:类似于strip,可以自定义字符,支持正则,将key前后包含的指定字符删除
filter{
    kv {
        source => "message"
       # 将key中的指定字符删除
        trim_key => "<>"
    }
}

{
    "message" => "<name=泰达米尔 <age>=20 type=战士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message" => "<name=泰达米尔 <age>=20 type=战士",
      "<name" => "泰达米尔",
       "type" => "战士",
      "<age>" => "20"
}

十九、trim_value

  • 功能:修剪value字段
  • 介绍:类似于strip,可以自定义字符,支持正则,将value前后包含的指定字符删除
filter{
    kv {
        source => "message"
       # 将value中的指定字符删除
        trim_value => "<>"
    }
}

{
    "message" => "name=泰达米尔<> age=<20> type=<><战士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

filter{
    kv {
        source => "message"
    }
}

{
    "message" => "name=泰达米尔<> age=<20> type=<><战士",
       "name" => "泰达米尔<>",
       "type" => "<><战士",
        "age" => "20"
}

二十、value_split

  • 功能:键值对分隔符
  • 介绍:默认按照=符号拆分,可以更改拆分的符号,支持正则
filter{
    kv {
        source => "message"
       # 将key、value按照:分隔
        value_split => ":"
    }
}

{
    "message" => "name:泰达米尔 age:20 type:战士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

二十二、value_split_pattern

  • 功能:设置多字符键值对分隔符
  • 介绍:value_split的升级版,可以支持多个字符作为分隔符,优先级高鱼value_split
filter{
    kv {
        source => "message"
       # 将键值对按照多个:进行匹配
        value_split_pattern => ":+"
    }
}

{
    "message" => "name::::泰达米尔 age:::20 type:战士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

二十三、whitespace

  • 功能:设置键值对匹配的空格模式
  • 介绍:可选值为:lenient、strict,默认是lenient,等号两边有空格也可以匹配,如果改为strict,等号两边有空格就匹配不上了
filter{
    kv {
        source => "message"
       # 宽松模式匹配空格
        whitespace => "lenient"
    }
}

{
    "message" => "name= 泰达米尔  age=  20    type=战士",
       "name" => "泰达米尔",
       "type" => "战士",
        "age" => "20"
}

filter{
    kv {
        source => "message"
       # 严格模式匹配空格
        whitespace => "strict"
    }
}

{
    "message" => "name= 泰达米尔  age=  20    type=战士",
       "type" => "战士"
}
飞Link
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash 嵌套解析kv数据
ToLightElegantly的博客
05-06 1571
input{ ... } filter{ kv{ source=>"message" field_split => " " value_split => ":" } } filter{ kv{ source=>"header" //header字段是message里面包含的字段,此字段内容可以继续切分 field_s...
最新版linux logstash-7.9.3.tar.gz
10-26
首先,Logstash的核心功能是其输入(input)、过滤(filter)和输出(output)插件。输入插件负责从各种源收集数据,如系统日志、网络端口或数据库。例如,你可以使用file input来读取系统日志文件,或者使用 beats input...
logstash-filter-kv
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新
ELK logstash KV过滤插件
小楼一夜听春雨,深巷明朝卖杏花
12-21 1596
过滤插件:通用配置字段 add_field 如果过滤成功,添加一个字段到这个事件 add_tags 如果过滤成功,添加任意数量的标签到这个事件 remove_field 如果过滤成功,从这个事件移除任意字段 remove_tag 如果过滤成功,从这个事件移除任意标签 Description This filter helps automatically parse messages (or specific event fields) which are of thefoo=b..
logstash过滤器插件filter详解及实例_logstash filter 时间戳
2401_84715926的博客
05-16 998
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则中,匹配空格和中括号要加上转义符。
Logstash常用插件的使用
dayi_123的博客
04-03 7487
Logstash常用插件的使用        Elk作为日志收集分析系统,除了使用filebeat及logstash等工具收集日志外,另一个重要的功能就是分析日志,分析日志是依据日志中的一些关键字段对日志进行切段取值,所以,在分析日志前就需要将这些关键字段取出来。logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出...
LogstashKV模式自动将数字转换成整数
cikenerd的博客
06-26 1956
logstashkv模式分割后的全部字符在Elasticsearch里面的数据类型全都是string,这样聚合搜索很不方便,于是利用ruby插件实现一下自动转整数的kv模式
最新版windows logstash-7.17.6-windows-x86_64.zip
09-02
- 配置文件:配置文件通常位于 config/logstash.yml,用户可以根据需求调整参数,如设置日志级别、内存使用等。 - 环境变量:可能需要设置环境变量以确保 Logstash 能找到依赖库和插件。 4. **插件管理**: - ...
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
12-16
2. 监控日志:查看`logs/logstash.stdout`或`logs/logstash.stderr`以获取运行状态和错误信息。 3. 使用`/bin/systemctl status logstash`或`ps aux | grep logstash`检查服务状态。 4. 调整JVM参数以优化性能,如...
最新版linux logstash-7.15.2-linux-x86_64.tar.gz
11-15
在`config`目录下,你可以找到默认的`logstash.yml`配置文件,用于设置全局选项。要创建一个新的配置,可以在该目录下创建一个`.conf`文件,例如`my_config.conf`,并定义输入和输出插件。 **4. 输入插件** 输入...
最新版linux logstash-7.16.3-linux-x86_64.tar.gz
01-14
bin目录下的logstash命令行工具用于启动和管理Logstash实例,config目录则存放配置文件,如logstash.yml和logstash.conf。你可以根据需求编辑配置文件,定义输入、过滤和输出插件,然后启动Logstash以开始处理数据。...
logstash将json日志事件自动解析成KV字段
Jepson的博客
10-22 1045
logstash自动解析json日志
Logstash详解之——filter模块
qianghong000的博客
08-10 248
> 摘要: Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 # 一、grok插件 **grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。** ```...
Logstash过滤器之常用插件使用
格子的博客
11-25 3900
Logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出来的日志写入到elasticsearch中。Logstash官方文档中介绍的logstash的过滤插件大概有四十多种,logstash常用的过滤插件有grok、mutate、kv、date、geoip插件等。 一、grok 插件 grok是logstash最主要的过滤插件,grok是通过系统预定义的正则表达式或者通过自己定义正则表达式来匹配日志中的各个值。 1、matc.
ELK [译]你应该了解的5个 Logstash Filter 插件
小楼一夜听春雨,深巷明朝卖杏花
12-08 376
原文:5 Logstash Filter Plugins You Need to Know About 译者:neal1991 welcome to star myarticles-translator, providing you advanced articles translation. Any suggestion, please issue or contactme LICENSE:MIT InELK, Logstash handles the resource-heav...
Logstash——Logstash过滤器(filter)解析不同格式的数据
大风的博客
05-12 5248
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对不同格式数据的处理 Logstash涉及对不同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译成JSON格式 kv 解析键值对的数据 .
logstash实战filter插件之grok(收集apache日志)
abtmh02622的专栏
06-22 108
有些日志(比如apache)不像nginx那样支持json可以使用grok插件 grok利用正则表达式就行匹配拆分 预定义的位置在 /opt/logstash/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2.0.5/patterns apache的在文件grok-patterns 查看官方文档 https://...
Logstash系列:kv拦截器的使用
NIO4444
05-18 970
原始数据 ip=1.2.3.4 error=REFUSED kv filter { kv { } } 结果 ip: 1.2.3.4 error: REFUSED
logstash java插件_[译]你应该了解的5个 Logstash Filter 插件
weixin_39923572的博客
02-17 189
welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact meLICENSE: MIT在 ELK 中, Logstash 处理资源繁重的日志聚合和处理的任务。 Logstash 执行的处理工作确保我们的日志消...
sudo /usr/share/logstash/bin/logstash -f ./logstash_mysql.conf
最新发布
06-23
`sudo /usr/share/logstash/bin/logstash -f ./logstash_mysql.conf` 这个命令是在Linux或Unix系统中运行Logstash这个工具的命令行方式。Logstash是一个开源的数据处理管道,主要用于收集、过滤和将各种数据源(如日志文件、数据库等)转化为结构化的数据,以便进一步分析或整合。 - `sudo`:这是一个超级用户权限执行的前缀,用于运行需要更高权限的命令,如更改系统设置或访问系统资源。 - `/usr/share/logstash/bin/logstash`:这是Logstash可执行文件的路径,`bin`目录通常包含系统的可执行程序。 - `-f`:表示使用指定的配置文件(file)选项,`./logstash_mysql.conf` 是Logstash要读取的配置文件,位于当前目录下,它定义了Logstash如何解析和处理数据的具体规则。 这个命令的作用是启动Logstash进程,并使用`./logstash_mysql.conf`中的配置来配置Logstash如何从MySQL数据库中提取数据并进行处理。相关问题: 1. Logstash是什么,它的主要功能是什么? 2. 配置文件`logstash_mysql.conf`是如何影响Logstash行为的? 3. 如果在执行过程中遇到权限问题,应该怎么做?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值