logstash启动文件conf之filter模块中字段转换问题

最新推荐文章于 2024-07-17 13:20:15 发布
最新推荐文章于 2024-07-17 13:20:15 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: Logstash 文章标签: logstash filter convert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvyuan1234/article/details/78654987
版权

         我的logstash是从kafka中读取数据,取出来的数据格式为"zhangsan_1_25_student_15064573848";一个人的姓名_性别_年龄_职业_时间戳,我的需求是将每个字段分别存到elasticsearch中,所以首先需要对取出来的字符串拆分,以便模板能映射各个字段

filter{
    mutate{
        split => ["message","_"]  //使用split以下划线进行拆分

        add_field => { //由于拆分完,只有值,没有字段名,所以还要使用add_field添加字段
          "name" => "%{[message][0]}"  //姓名
        }
        add_field => {
          "gender" => "%{[message][1]}" //性别
        }
        add_field => {
          "age" => "%{[message][2]}" //年龄
        }
        add_field => {
          "job" => "%{[message][3]}" //职业
        }
        add_field => {
          "time" => "%{[message][4]}" //时间戳
        }
        convert => { "gender" => "integer"} //由于拆分完每个都是字符串,而对于age等字段我想存储为整型,所以要
        convert => { "age" => "integer"} //对字段进行转换,这里虽然写的是integer,但是模板会映射为long类型
        convert => { "time" => "integer"} //但是转换并没生效,后面会解释
        
        remove_field => ["message"]
    }
}

        由于字段转换没生效,我开始思考是不是由于字段名是从add_field方法添加来的,所以才没生效;后来我再添加一个mutate就成功了,当时怎么转不过弯,又没规定一个filter里面只能写一个mutate。

filter{
    mutate{
        split=>["message","_"]

        add_field => {
          "name" => "%{[message][0]}"
        }
        add_field => {
          "gender" => "%{[message][1]}"
        }
        add_field => {
          "age" => "%{[message][2]}"
        }
        add_field => {
          "job" => "%{[message][3]}"
        }
        add_field => {
          "time" => "%{[message][4]}"
        }
        remove_field => ["message"]
    }
    mutate{ //要转换字段,请重新再添加一个mutate
        convert => { "gender" => "integer"}
        convert => { "age" => "integer"}
        convert => { "time" => "integer"}
    }
}


风雨诗轩
关注
专栏目录
基于Logstash由SQLServer向Elasticsearch同步数据: logstash配置文件
iOS逆向与安全
03-14 462
官方文档:https://www.elastic.co/guide/en/logstash/current/pipeline.html。statement : sql 里面的字段首字母必须as 成小写,或者你直接小写也行,但是必须的小写。依赖DB的特定字段,可能会涉及到原有表结构的修改。在删除数据时无法通过这种方式获得数据的变更。x_Loan_PreservationAdvanceList.sql 需要同步数据执行的Sql。解压完成后,进入解压后的logstash-7.2.0文件夹。
logstash filter 字符串转换为json
a123147abc的博客
01-20 2745
logstash filter 字符串转换为jsonlogstash filter 字符串转换为json logstash filter 字符串转换为json filter { # 去除\n 和空值[字符串可能存在空值、\n等特殊字符] mutate { strip => ["message"] } # 转为json 并赋值给 target json { source => "message" target => "message2"
logstash-6.2.2安装logstash-filter-convert失败
paj123456789的博客
03-28 318
在网上找了很多方法都没有用:如在install 后面加--no-verify 然后执行命令:问题依然存在。
logstash配置文件filter方法介绍
最新发布
qq_37647812的博客
07-17 882
logstash配置文件filter方法介绍
logstash对于String类型的时间转成long
格物致知
09-20 5379
在工作,遇到传过来的是时间字符串yyyy-MM-dd HH:mm:ss,用到logstash时需要先把这种时间转换成long,然后进行存储操作。 上config代码:input{ stdin{ # codec=>rubydebug } } filter{ # codec=>rubydebug mutate{ split=>["message"," "]
logstash过滤器插件filter详解及实例
qq_40907977的博客
06-08 1787
原创作者:峰哥ge 原创地址: https://www.cnblogs.com/FengGeBlog/p/10305318.html logstash过滤器插件filter grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配
logstash数据同步Long型数据尾部数据为0
weixin_43855185的博客
07-17 291
logstash-conf
10-10
"logstash-conf" 指的是 Logstash 的配置文件,它是 Logstash 工作的核心,定义了 Logstash 如何从各种数据源采集数据,如何处理这些数据,以及如何将处理后的数据发送到指定的输出目标。 在 Logstash 配置文件,...
logstash的配置文件
07-27
每个Logstash实例都有一个或多个配置文件,这些文件通常以`.conf`为扩展名。配置文件的结构由多个块组成,每个块代表一个插件,并按照输入、过滤和输出的顺序排列。 **输入插件(Input Plugins)** 输入插件负责从...
logstash config filter 配置(grok、date、ruby):日志拆分转换并展示在kibana
baidu_41614347的博客
10-27 1546
概要:ELK部署成功后,需要kibana图形展示某应用的性能。初步通过统计分析日志的形式来模拟。日志有sendTime :消息发出时间,recvTime:处理完毕后打印的日志时间。通过logstash对日志进行拆分并计算recvTime和sendTime的差值即处理时间(本文标记为responseTime)。并将responseTime展示在kibana 1、logstash配置文件 logstash的配置文件input是来自filebeat端口5044 (filebeat用于收集ou...
如何在logstash的配置文件里边删除csvcolumns多余的field字段
sxf_123456的博客
07-21 6426
当采集数据时生成的csv的文件,但是发现采集表数据有些在es不需要,这时,可以在filter插件的csv,使用remove_field => [ "filed1","filed2" ]来删除多余字段input {    file {        path => [                        "/test/111.csv"                ]  ...
logstash时间戳转换
热门推荐
小龙在线
12-11 2万+
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
Logstash系列:过滤器filter之 mutate写法
NIO4444
01-11 1202
filter { mutate { # Renames the 'HOSTORIP' field to 'client_ip' rename => { "HOSTORIP" => "client_ip" } } }
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1341
Logstash三个组件的第二个组件,也是真个Logstash工具最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段...
Logstash add_field 参数应用
weixin_30877755的博客
04-11 1940
使用 add_field 参数有两种需求: 1. 直接加入到 event 的 hash 顶级对象 add_field => { "my_field_one" => "one" } 那么,结果会类似: { "公司名称" => "xxx", "BUG_ID" => 1234, ...
logstash将两个field合并成一个field方法
山间明月江上清风的专栏
04-20 7368
今天格式化一个日志,日期不好取,分成了两个字段。后来date又支持一个字段date {      match => ["time", "yyyy-MM-dd HH:mm:ss.SSS" ]    }mutate的merger没用,时把两个字段合成数组了。最后找到了方案,用alteralter{      add_field => { "fullTime" => "%{day} %...
ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch
weixin_30402343的博客
05-13 1785
问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下: Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下: { "message": "key_1=value_1;,;key_2=value_2" } 现在想要将message的值拆...
Logstash过滤器插件filter
sinat_34241861的博客
07-27 532
grok正则捕获 grok是一个十分强大的logstash filter插件,它可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。它是目前Logstash解析非结构化日志数据最好的方式 grok的语法规则: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址 举例: 原始数据:172.16.213.132 [07/Feb/2018:16:24:19 +0800] “GET /HTTP/1.1” ..
logstash.conf配置文件放在项目什么位置,完整写法是什么
06-08
Logstash 的配置文件可以放在任何你喜欢的位置,只要在启动时指定配置文件路径即可。一般来说,建议将配置文件放在项目的根目录下,文件名为 `logstash.conf`。 完整的配置文件内容如下: ``` input { tcp { port => 4560 codec => json_lines } } filter { json { source => "message" } grok { match => { "message" => "%{TIMESTAMP_ISO8601:logtime} \[%{DATA:thread}\] %{LOGLEVEL:level} %{DATA:class} - %{GREEDYDATA:logmsg}" } } mutate { add_field => { "timestamp" => "%{logtime}" "thread" => "%{thread}" "level" => "%{level}" "class" => "%{class}" "message" => "%{logmsg}" } } } output { jdbc { jdbc_connection_string => "jdbc:mysql://localhost:3306/dbname?useUnicode=true&characterEncoding=utf-8&autoReconnect=true&failOverReadOnly=false&zeroDateTimeBehavior=convertToNull&useSSL=false" jdbc_user => "username" jdbc_password => "password" jdbc_driver_library => "/path/to/mysql-connector-java-5.1.31.jar" jdbc_driver_class => "com.mysql.jdbc.Driver" statement => "INSERT INTO log_table(timestamp,thread,level,class,message) VALUES(?,?,?,?,?)" use_prepared_statements => true flush_size => 100 max_flush_exceptions => 5 } } ``` 其,`input` 部分配置了监听的 TCP 端口和编码方式;`filter` 部分使用 `json` 插件解析消息,然后使用 `grok` 插件解析出日志信息的时间、线程、日志级别、类名和日志内容,并使用 `mutate` 插件添加新的字段;`output` 部分将解析后的字段写入 MySQL 数据库。需要根据实际情况修改数据库连接信息和日志表结构。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值