grok 正则

最新推荐文章于 2024-04-09 13:54:14 发布
最新推荐文章于 2024-04-09 13:54:14 发布
阅读量1.2k 收藏
点赞数
分类专栏: ELK 文章标签: logstash grok 正则
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangkiller/article/details/102609128
版权
环境
  • centos 7.2
  • JDK 11
  • logstash 7.4 rpm

logstash rpm安装,参见Logstash RPM安装

语法

grok的正则,是在通用的正则基础上,加了正则表达的名称(变量名),这样就可以在其他的正则里调用了;

通用的正则,参见正则表达式

grok调用正则的语法为

%{PATTERN_NAME}
%{PATTERN_NAME:OUTPUT_FIELD_NAME}

PATTERN_NAME匹配到的信息,会放在输出字段OUTPUT_FIELD_NAME里;

grok内置的正则在

https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns

可以看到grok正则定义的格式

USERNAME [a-zA-Z0-9._-]+
USER %{USERNAME}
...
POSINT \b(?:[1-9][0-9]*)\b
...
IPORHOST (?:%{IP}|%{HOSTNAME})
HOSTPORT %{IPORHOST}:%{POSINT}
...
URIHOST %{IPORHOST}(?::%{POSINT:port})?

格式为: PATTERN_NAME regular_expression,其中regular_expression可以调用其他的正则

实例
$ cd /var/tmp
$ vi logstash-filter.conf
input {
    tcp {
        port => 5000
        type => test
    }
}

filter {
    if [type] == "test" {
        grok {
            match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
            add_field => [ "received_at", "%{@timestamp}" ]
            add_field => [ "received_from", "%{host}" ]
        }
    }
}

output {
    stdout { codec => rubydebug }
}

//# 命令行启动
$ /usr/share/logstash/bin/logstash "--path.settings" "/etc/logstash" -f   logstash-filter.conf

默认接收到的信息是放在字段’message’里的;

grok的syslog正则定义为

DATA .*?

# Syslog Dates: Month Day HH:MM:SS
SYSLOGTIMESTAMP %{MONTH} +%{MONTHDAY} %{TIME}
PROG [\x21-\x5a\x5c\x5e-\x7e]+
SYSLOGPROG %{PROG:program}(?:\[%{POSINT:pid}\])?
SYSLOGHOST %{IPORHOST}
SYSLOGFACILITY <%{NONNEGINT:facility}.%{NONNEGINT:priority}>
HTTPDATE %{MONTHDAY}/%{MONTH}/%{YEAR}:%{TIME} %{INT}

打开一个新终端输入

$ telnet localhost 5000
Dec 23 12:11:43 louis postfix/smtpd[31499]: connect from unknown[95.75.93.154]

Dec 23 14:42:56 louis named[16000]: client 199.48.164.7#64817: query (cache) 'amsterdamboothuren.com/MX/IN' denied

Dec 23 14:30:01 louis CRON[619]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)

Dec 22 18:28:06 louis rsyslogd: [origin software="rsyslogd" swVersion="4.2.0" x-pid="2253" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'.

在原终端可以看到输出

{
      "syslog_program" => "postfix/smtpd",
             "message" => "Dec 23 12:11:43 louis postfix/smtpd[31499]: connect from unknown[95.75.93.154]\r",
            "@version" => "1",
      "syslog_message" => "connect from unknown[95.75.93.154]\r",
                "host" => "localhost",
    "syslog_timestamp" => "Dec 23 12:11:43",
       "received_from" => "localhost",
                "port" => 34971,
     "syslog_hostname" => "louis",
          "@timestamp" => 2019-10-17T07:55:09.234Z,
          "syslog_pid" => "31499",
         "received_at" => "2019-10-17T07:55:09.234Z",
                "type" => "test"
}
{
      "syslog_program" => "named",
             "message" => "Dec 23 14:42:56 louis named[16000]: client 199.48.164.7#64817: query (cache) 'amsterdamboothuren.com/MX/IN' denied\r",
            "@version" => "1",
      "syslog_message" => "client 199.48.164.7#64817: query (cache) 'amsterdamboothuren.com/MX/IN' denied\r",
                "host" => "localhost",
    "syslog_timestamp" => "Dec 23 14:42:56",
       "received_from" => "localhost",
                "port" => 34971,
     "syslog_hostname" => "louis",
          "@timestamp" => 2019-10-17T07:55:20.447Z,
          "syslog_pid" => "16000",
         "received_at" => "2019-10-17T07:55:20.447Z",
                "type" => "test"
}
{
      "syslog_program" => "CRON",
             "message" => "Dec 23 14:30:01 louis CRON[619]: (www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)\r",
            "@version" => "1",
      "syslog_message" => "(www-data) CMD (php /usr/share/cacti/site/poller.php >/dev/null 2>/var/log/cacti/poller-error.log)\r",
                "host" => "localhost",
    "syslog_timestamp" => "Dec 23 14:30:01",
       "received_from" => "localhost",
                "port" => 34971,
     "syslog_hostname" => "louis",
          "@timestamp" => 2019-10-17T07:55:27.920Z,
          "syslog_pid" => "619",
         "received_at" => "2019-10-17T07:55:27.920Z",
                "type" => "test"
}
{
      "syslog_program" => "rsyslogd",
             "message" => "Dec 22 18:28:06 louis rsyslogd: [origin software=\"rsyslogd\" swVersion=\"4.2.0\" x-pid=\"2253\" x-info=\"http://www.rsyslog.com\"] rsyslogd was HUPed, type 'lightweight'.\r",
            "@version" => "1",
      "syslog_message" => "[origin software=\"rsyslogd\" swVersion=\"4.2.0\" x-pid=\"2253\" x-info=\"http://www.rsyslog.com\"] rsyslogd was HUPed, type 'lightweight'.\r",
                "host" => "localhost",
    "syslog_timestamp" => "Dec 22 18:28:06",
       "received_from" => "localhost",
                "port" => 34971,
     "syslog_hostname" => "louis",
          "@timestamp" => 2019-10-17T07:55:35.254Z,
         "received_at" => "2019-10-17T07:55:35.254Z",
                "type" => "test"
}
zhiliang-chen
关注
专栏目录
Logstash数据处理服务的过滤插件Grok正则匹配概念以及正则语法
江晓龙的博客
07-13 916
收集来的日志往往都是非结构的日志,当然也可以通过配置将日志输出成结构化日志,Nginx就支持将日志输出成结构化的功能,但是很多一些开源软件是不支持将日志结构化的,针对这种需求,我们就可以使用正则将日志数据输出成功格式化数据。Grok正则插件是作用通过正则表达式将非结构的日志输出成结构化的日志,便于我们在kibana上对日志数据进行筛选。使用Grok正则匹配配置之前,需要对正则表达式有一定的基础。Grok插件自带了一些内置的正则匹配模式,将常用的一些匹配表达式(获取IP、文本字符串、请求URL、数字)写入到了
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2798
文章目录前言一、grok-patterns二、自定义grok-patterns(正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Grok正则
seeker的博客
05-04 4105
Grok正则简介 日志源提供的日志格式可能并不是我们想要插入存储介质里的格式,Logstash里提供了一系列的filter来让我们转换日志。Grok就是这些filters里最重要的一个插件,(==简单来说就是过滤日志数据==)。而且后期你还会使用Grok正则里定义的field来进行相关指标的分析。 语法解释: %{TIMESTAMP_ISO8601:time},代表时间戳 %{LO...
Grok常用正则表达式(日常记录)
qq_20283263的博客
01-20 2225
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+ EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]...
Logstash Grok正则
jeikerxiao
12-07 1111
Logstash Grok正则Grok正则简介语法解释调试工具示例1示例2示例3 Grok正则简介 日志源提供的日志格式可能并不是我们想要插入存储介质里的格式,Logstash里提供了一系列的filter来让我们转换日志。Grok就是这些filters里最重要的一个插件,(简单来说就是过滤日志数据)。而且后期你还会使用Grok正则里定义的field来进行相关指标的分析。 语法解释 语法 说...
10.Grok正则
王双颖的博客
06-22 482
推荐使用工具kibana 或者使用下面提供的解析工具 https://www.5axxw.com/tools/v2/grok.html #特殊匹配 (%{GREEDYDATA:json1}|-) 匹配所有数据 %{QS:agent} 匹配"-"数据 # 匹配规则 LogFile="%{WORD:logfile}";Time="%{DATA:time}";SIP="%{IPV4:sip}"; #关键字 WORD 匹配单词 DATA 匹配任意数据 IPV4 匹配IP NUMBE
logstash filter grok正则
04-29
Logstash filter grok正则是一种用于从未结构化的日志数据中提取有用信息的工具。它基于正则表达式,可以在日志数据中识别出特定的模式,并将其转换为结构化的数据。以下是一些常用的 grok 正则表达式示例: - 提取...
logstash + grok 正则语法
05-24
下面是一些常用的Grok正则语法: 1. 基本语法: %{PATTERN:fieldName},将匹配的部分存储在指定的字段中。 2. 匹配数字: %{NUMBER:fieldName}。 3. 匹配IP地址: %{IP:fieldName}。 4. 匹配日期: %{DATESTAMP:...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1629
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github.com/jrxfive/groktoregex 用法 一旦构建 groktoregex 只需要两个标志,'--grok' 和 '--source'。 Source 是一个文件夹,其中包含 logstash grok 名称及其值。 使用的格式是: "<GROK>" = "<VALUE>" 将自定义 grok 值添加到提供的文件或创建一个新文件。 GrokToRegex 将使用 glob 并选取给定文件夹中的任何文件。 例子 ./groktoregex --pattern "%{HOSTPORT}" --loo
Grok_正则表达式
AngusDavis的博客
09-10 2835
Grok正则表达式,虽然不是太全,但是已经可以满足日志分析的需求。 转载请说明出处,谢谢。 如果有错误请指出,谢谢。 #----------------------------------------------------------------------------------------------------------------------------------------
【ELK之logstashgrok入门:自测实例+常用正则grok-patterns)
MayMatrix 的博客
03-13 2379
一、背景 研究了grok几天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其中的Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog.csdn.net/q...
logstashgrok插件作为日志解析工具,如何自定义正则表达式来匹配字符
最新发布
天草二十六
04-09 1395
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
grok logstash配置_Logstash6中grok插件的常用正则表达式
weixin_39766014的博客
12-19 259
grok默认表达式Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。常用表达式表达式标识名称详情匹配例子USERNAME 或 USER用户名由数字、大小写及特殊字符(._-)组成的字符串1234、Bob、Alex.WongEMAILLOCALPART用户名首位由大小写字母组成,其他位由数字、大...
java-grok通过正则表达式解析日志
程序员Monkey的专栏
08-07 8304
项目中有一个新的需求,就是需要解析日志,将日志中的部分数据分析获取出来供系统使用,通俗的讲就是抓取日志中的部分有用的信息,比如下面的apache日志信息,我需要解析每行日志,获取每行日志的IP地址、用户、创建时间、请求方式、地址....如果我们单纯使用java的方式,可能会想到通过文件流读取日志信息,然后逐行解析字符串,但是这种方式太过于复杂,而且效率比较低,在网上查询了相关的资料,决定使用log
[转]Grok 正则捕获
CurrentJ
12-24 459
GrokLogstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。 正则表达式语法 运维工程师多多少少都会一点正则。你可以在 grok 里写标准的正则,像下面这样: \s+(?&lt;request_time&gt;\d+(?:\.\d+)?)\s+ 小贴士:这个正则表达式写法对于 Perl 或者 Ruby...
关于Logstashgrok插件的正则表达式例子
趣学程序
07-07 494
一、前言 近期需要对Nginx产生的日志进行采集,问了下度娘,业内最著名的解决方案非ELK(Elasticsearch, Logstash, Kibana)莫属。 Logstash负责采集日志,Elasticsearch负责存储、索引日志,Kibana则负责通过Web形式展现日志。 今天,我要说的是Logstash,它可以从多种渠道采集数据,包括控制台...
grok-pattern-syslog
wzf862187413的博客
04-12 688
SYSLOG5424PRINTASCII [!-~]+ SYSLOGBASE2 (?:%{SYSLOGTIMESTAMP:timestamp}|%{TIMESTAMP_ISO8601:timestamp8601}) (?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource} %{SYSLOGPROG}: SYSLOGPAMSESSION %{SYSLOGBASE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值