Logstash 插件 grok 使用

已于 2024-02-22 09:41:26 修改
阅读量419 收藏 7
点赞数 9
文章标签: elk
于 2024-02-22 09:19:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mybabytao/article/details/136214148
版权

实例:

使用grok匹配项目日志

关于项目中日志的配置 配置文件logbak.xml文件
主要配置日志的输出模版

<pattern>[%d{yyyy-MM-dd HH:mm:ss}] [%thread] [%level] %logger{50} - %msg%n</pattern>

文件部分内容:

    <appender name="INFO_FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
        <!-- 正在记录的日志文件的路径及文件名 -->
        <file>${log.path}/log_info.log</file>
        <!--日志文件输出格式-->
        <encoder>
            <!--<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n</pattern>-->
            <pattern>[%d{yyyy-MM-dd HH:mm:ss}] [%thread] [%level] %logger{50} - %msg%n</pattern>
            <charset>UTF-8</charset>
        </encoder>
        <!-- 日志记录器的滚动策略,按日期,按大小记录 -->
        <rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
            <!-- 每天日志归档路径以及格式 -->
            <fileNamePattern>${log.path}/info/log-info-%d{yyyy-MM-dd}.%i.log</fileNamePattern>
            <timeBasedFileNamingAndTriggeringPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedFNATP">
                <maxFileSize>100MB</maxFileSize>
            </timeBasedFileNamingAndTriggeringPolicy>
            <!--日志文件保留天数-->
            <maxHistory>15</maxHistory>
        </rollingPolicy>
        <!-- 此日志文件只记录info级别的 -->
        <filter class="ch.qos.logback.classic.filter.LevelFilter">
            <level>info</level>
            <onMatch>ACCEPT</onMatch>
            <onMismatch>DENY</onMismatch>
        </filter>
    </appender>

日志模版:

[2024-02-21 15:30:55] [main] [INFO] c.c.s.t.i.ths.tax.item.ths.ItemThsApplication - Started ItemThsApplication in 7.129 seconds (JVM running for 9.158)


(?<LogTime>\[%{YEAR}-%{MONTHNUM}-%{MONTHDAY}%{SPACE}%{TIME}\]) \[%{DATA:thread}\]%{SPACE}\[%{DATA:logLeverl}\]%{SPACE}%{DATA:class}%{SPACE}-%{SPACE}%{GREEDYDATA:message}

结果:

{
  "LogTime": "[2024-02-21 15:30:55]",
  "thread": "main",
  "message": "Started TaxItemThsApplication in 7.129 seconds (JVM running for 9.158)",
  "class": "c.c.s.t.i.ths.tax.item.ths.TaxItemThsApplication",
  "logLeverl": "INFO"
}
将grok 过滤应用到logstash+filebeat+es中:
filebeat配置文件 filebeat.yml 部分
# ============================== Filebeat inputs ===============================

filebeat.inputs:

# Each - is an input. Most options can be set at the input level, so
# you can use different inputs for various configurations.
# Below are the input-specific configurations.

# filestream is an input for collecting log messages from files.
- type: log

  # Unique ID among all inputs, an ID is required.
  id: my-log-id

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /u01/es/log/*.log
    #- c:\programdata\elasticsearch\logs\*



# ================================== Outputs ===================================

# Configure what output to use when sending the data collected by the beat.

# ---------------------------- Elasticsearch Output ----------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
#  hosts: ["192.168.30.181:9200"]

  # Performance preset - one of "balanced", "throughput", "scale",
  # "latency", or "custom".
#  preset: balanced

  # Protocol - either `http` (default) or `https`.
  #protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  #username: "elastic"
  #password: "changeme"

# ------------------------------ Logstash Output -------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["192.168.30.181:5044"]
logstash.yml

http.host: "0.0.0.0"
xpack.monitoring.elasticsearch.hosts: [ "http://192.168.30.181:9200" ]
# 主管道的Logstash配置路径,如果指定目录或通配符,配置文件将按字母顺序从目录中读取
path.config: /usr/share/logstash/config/conf.d/*.conf
#Logstash将其日志写到的目录
path.logs: /usr/share/logstash/logs
logstash-simple.conf文件(/usr/share/logstash/config/conf.d/*.conf)
# Sample Logstash configuration for creating a simple
# Beats -> Logstash -> Elasticsearch pipeline.

input {
  beats {
    port => 5044
  }
}
filter{
  grok{
    match => { "message" => "(?<LogTime>\[%{YEAR}-%{MONTHNUM}-%{MONTHDAY}%{SPACE}%{TIME}\]) \[%{DATA:thread}\]%{SPACE}\[%{DATA:logLeverl}\]%{SPACE}%{DATA:class}%{SPACE}-%{SPACE}%{GREEDYDATA:message}" }
   }
}
output {
  stdout{
   codec => rubydebug
  }
  elasticsearch {
    hosts => ["http://192.168.30.181:9200"]
    index => "logloglognew-%{[@metadata][version]}-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }
}
浅若如初~
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Logstash数据处理服务的过滤Grok正则匹配概念以及正则语法
江晓龙的博客
07-13 864
收集来的日志往往都是非结构的日志,当然也可以通过配置将日志输出成结构化日志,Nginx就支持将日志输出成结构化的功能,但是很多一些开源软件是不支持将日志结构化的,针对这种需求,我们就可以使用正则将日志数据输出成功格式化数据。Grok正则件是作用通过正则表达式将非结构的日志输出成结构化的日志,便于我们在kibana上对日志数据进行筛选。使用Grok正则匹配配置之前,需要对正则表达式有一定的基础。Grok件自带了一些内置的正则匹配模式,将常用的一些匹配表达式(获取IP、文本字符串、请求URL、数字)写入到了
logstash-filter-grok:Grok件可将非结构化(日志)数据解析为结构化的内容
05-07
Logstash件 这是的件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个新的件或克隆并存在。 我们还提供了。 安装依赖项 bundle install 测试
Logstash配置grok详解
热门推荐
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置grok详解 grokLogstash最重要的件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
Grok开源来看看怎么用吧
double222222的博客
03-20 1230
Grok 是一个庞大的语言模型,拥有 3140 亿个参数,使其成为目前可用的最大的开源模型。作为对比,这是 OpenAI 2020年发布的被视为突破的 GPT-3 大小的两倍多。Langchain 的 @Andrew Kean Gao 分享的图表中,你可以看到 Grok 的大小与其竞争对手相比有多么庞大。但 Grok 不仅仅体量巨大,它还采用了专家混合 (MoE) 架构,允许它为不同任务策略性地激活其参数的子集。这理论上使它比传统的密集模型更高效和适应性强。
Logstashgrok
weixin_40108561的博客
05-28 161
语法:http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/filter/grok.html 文本: NOTICE: 2021-04-28 12:44:44 /root/gopath/pkg/mod/icode.baidu.com/baidu/gdp/gdp@v1.1.1-0.20190530102336-689961a086a1/weblogware.go:43 logid[4290488817] err[0] api[game_page..
使用logstash中的grok件解析apache日志输出至elasticsearch
QYHuiiQ
05-05 2269
在实际应用中,我们可能会对apache产生的请求访问日志进行解析,对其中的一些数据进行处理。我们可以使用Logstash中提供的grok件(该件是针对apache的日志,里面可以帮我们自动识别一些信息)对数据格式进行处理,并将数据输出到elasticsearch。 关于elk的搭建,可以参考这篇:https://blog.csdn.net/QYHuiiQ/article/details/87...
logstash常用的filter件-grok、geoip
lpx1249115962的博客
08-27 340
将解析后的结果存储到指定的字段,若不指定,则默认覆盖原有的"@timestamp"字段哟!# 将Geoip解析的数据放在一个字段中,若不指定,则默认放在"geoip"字段中.# 如果设置为UTC时间,时区是不准确的!
Filter的四大件(grok、date、mutate、mutiline)
guyunbingyb的博客
07-13 476
grok、date、mutate、mutiline
logstash-filter-grok-3.4.3
12-15
logstash的filter件,通过正则表达式拆解日志。安装方式:bin/logstash-plugin install --no-verify logstash-filter-grok-3.4.4.gem
logstash主配置文件
08-30
该配置文件有logstash的stdin、file、tcp、udp、syslog、beats、grok、elasticsearch件配置
Grok:深入解析日志与数据的强大工具
03-20
它是Logstash最重要的件之一,通过正则匹配的方式,Grok能够高效地处理和分析日志数据。 Grok的灵活性在于它支持自定义模式。除了使用预定义的模式外,用户还可以根据日志的具体格式创建自定义模式。这种灵活性...
Grok:深入解析日志与数据的强大工具.zip
最新发布
03-20
grok使用GrokLogstash解析动态日志的过程相对简单。首先,用户需要定义一个Grok模式,用于匹配和提取日志中的字段。然后,在Logstash的配置文件中添加一个Grok件的配置项,包括要解析的日志文件路径、使用Grok...
Logstash~filter.grok使用教程(附带实例)
feizuiku0116的博客
04-26 1571
->->grok在线测试网站-<-< ->->grok官方匹配模式-<-< ->->正则表达式官方语法-<-< 一、grok介绍 描述任意文本并对其进行结构化 将非结构化日志数据解析为结构化和可查询的数据 语法:%{SYNTAX:SEMANTIC} SYNTAX:要匹配的模式名称 SEMANTIC:为匹配的文本提供的标识符 二、match:匹配 1.常规匹配 按照%{SYNTAX:SEMANTIC}语法进行匹配,将SYNTAX
ELK + Filebeat 部署及 logstash 的四大件(grok、date、mutate、multiline)
weixin_60917414的博客
07-12 2189
自定义表达式格式:(?<自定义名称>正则表达式)
ELK中grok件、mutate件、multiline件、date件的相关配置
2302_76824193的博客
07-12 1278
grok 正则捕获件、mutate 数据修改件、multiline 多行合并件、date 时间处理
轻松掌握Logstashgrok匹配
全菜工程师小辉的博客
03-16 7254
Logstash的filter件在7.5.1版本中,有多达46种。介绍filter件的官网地址,感兴趣的话可以自行研究,点此跳转 本文主要讲解filter件中的grok。通过在filter中使用grok,可以把日志中的关键字快速匹配出来。 grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。 Grok Debugger在线匹配正则 推荐一款在线匹配正则的网站——Grok Debu...
grok简单使用
weixin_57253143的博客
09-11 926
我们还需要把我们提取出来的数据存放到一个key里面 也可以使用贪婪匹配 {GREEDYDATA:KEY名}%{GREEDYDATA}%{HOSTNAME}\[%{DATA:msg}]%{GREEDYDATA:KEY名}GREEDYDATA:贪婪匹配 匹配出来的如果有key的话就给你提取出来 如果没有就丢弃了。这个相当于正则 要一段一段的看。
Logstash:日志解析的 Grok 模式示例
Elastic 中国社区官方博客
03-25 3144
如果没有日志解析,搜索和可视化日志几乎是不可能的。 解析结构化您的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助你了解如何解析日志数据。
logstash filter grok正则
04-29
Logstash filter grok正则是一种用于从未结构化的日志数据中提取有用信息的工具。它基于正则表达式,可以在日志数据中识别出特定的模式,并将其转换为结构化的数据。以下是一些常用的 grok 正则表达式示例: - 提取 IP 地址:`%{IP:client}` - 提取日期和时间:`%{TIMESTAMP_ISO8601:timestamp}` - 提取数字:`%{NUMBER:bytes}` - 提取 URL:`%{URI:url}` - 提取日志级别:`%{LOGLEVEL:level}` - 提取操作系统信息:`%{SYSLOG5424SD:os}` 在 Logstash使用 grok 正则表达式,可以通过在 filter 部分添加 grok 件来实现。例如: ``` filter { grok { match => { "message" => "%{IP:client} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent}" } } } ``` 以上是一个示例 grok 正则表达式,可以从 Apache 日志中提取客户端 IP 地址、用户名、认证信息、时间戳、请求方法、请求路径、HTTP 版本、响应码、字节数、referrer 和 user-agent 等信息,并将其转换为结构化的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值