Logstash过滤器之常用插件使用

最新推荐文章于 2024-05-16 05:12:50 发布
最新推荐文章于 2024-05-16 05:12:50 发布
阅读量3.8k 收藏 8
点赞数
分类专栏: Elastic Stack 文章标签: elastic filter logstash grok
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25854057/article/details/121521423
版权

Logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出来的日志写入到elasticsearch中。Logstash官方文档中介绍的logstash的过滤插件大概有四十多种,logstash常用的过滤插件有grok、mutate、date、kv、geoip插件等。

一、grok 插件

Grok是Logstash最主要的过滤插件,Grok是一种通过正则表达式将非结构化日志数据解析为结构化和可查询的数据的插件。以下列举几种常见的配置参数,其他配置参数详见官档。

1、match 正则
  • 内置数据类型
# 可以匹配一条或多条规则
grok {
    "match" => { "message" => '%{IPORHOST:clientip} %{DATA:process_name}\[%{NUMBER:process_id}\]: %{GREEDYDATA:message}'},
    "overwrite" => "message"
}

grok {
    "match" => { "message" => [
      '%{WORD:word_1} %{WORD:word_2} %{NUMBER:number_1} %{NUMBER:number_2} %{GREEDYDATA:data}',
      '%{WORD:word_1} %{NUMBER:number_1} %{NUMBER:number_2} %{NUMBER:number_3} %{DATA:data};%{NUMBER:number_4}',
      '%{DATA:data} \| %{NUMBER:number}']
     }
}
  • 自定义数据类型
# cat patterns
TIME %{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:%{SECOND}:%{MINUTE}.%{SSS}
LOG1 %{LOGLEVEL:loglevel}[T ]\[%{GREEDYDATA:servername},,,\][T ]%{PID:pid}[T ]---[T ]\[%{GREEDYDATA:loop}\][T ]%{GREEDYDATA:log}
LOG2 %{PID:pid}[T ]---[T ]%{GREEDYDATA:message}

# cat logstash.conf
...
grok {
	patterns_dir => ["./patterns"]
	match => ["message", "%{TIMESTAMP_ISO8601:logdate}  %{LOGLEVEL:loglevel}[T ]\[%{GREEDYDATA:servername},,,\][T ]%{LOG2:logtest}"]
}
...
2、Reference
3、grok 注意事项
  • grok匹配问题,在同一正则表达式中不要出现两个通配(.*)

二、mutate 插件

mutate过滤器可以讲字段执行常规变化。您可以重命名、删除、替换和修改事件中的字段。以下列举几种常见的配置参数,其他配置参数详见官档。

1、coerce
  • 如果某个字段已经存在,并且它的值是null,那么我们可以使用coerce来为它设置默认值
mutate {
	 # Sets the default value of the 'field1' field to 'default_value'
	 coerce => { "field1" => "default_value" }
}
2、rename
  • 对字段进行重命名
mutate {
	rename => {"shortHostname" => "hostname"}
}
3、update
  • 更新字段的值,更新的字段必须要存在,否则没有任何效果
mutate {
	update => { "sample" => "My new message" }
}
4、convert
  • 数据类型转换
  • 可转换类型有integer、integer_eu、float、float_eu、string、boolean
mutate {
	convert => {
		"fieldname" => "integer"
		"booleanfield" => "boolean"
}
5、gsub
  • 对字段内容进行替换
mutate {
	gsub => [
		# 第一列是字段(string类型或string数组),第二列是替换前字符(支持正则),第三列是替换后字符
		"fieldname", "/", "_",
		"fieldname2", "[\\?#-]", "."
	]
  }
6、uppercase、capitalize、lowercase
  • 大写、首字母大写、小写
mutate {
	lowercase => [ "fieldname" ]
}
7、strip
  • 去除字段首尾空格
mutate {
	strip => ["field1", "field2"]
}
8、remove_field、add_field
  • 移除、添加字段
mutate {
	remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
	add_field => {
		"foo_%{somefield}" => "Hello world, from %{host}"
		"new_field" => "new_static_value"
	}
}
9、split
  • 使用分隔符将字段拆分为数组。仅适用于字符串字段。
mutate{
	split => ["message","|"]     #按 | 进行split切割message
		add_field =>   {
		        "requestId" => "%{[message][0]}"
		}
		add_field =>   {
		        "timeCost" => "%{[message][1]}"
		}
}
mutate {
	split => { "fieldname" => "," }
}
10、merge
  • 字段合并
  • 可以合并的类型
`array` + `string` will work
`string` + `string` will result in an 2 entry array in `dest_field`
`array` and `hash` will not work

mutate {
     merge => { "dest_field" => "added_field" }
}
11、Reference

三、date 插件

日期过滤器用于解析字段中的日期,然后使用该日期或时间戳作为事件的日志存储时间戳。

1、target
  • 业务日志时间戳覆盖 timestamp
date {
	match => ["logdate", "yyyy-MM-dd HH:mm:ss"]
	target => "@timestamp"
}
2、Reference

https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html

四、kv 插件

kv插件是对键值数据进行解析,如foo=bar。

1、field_split
  • 用作单个字符字段分隔符的字符串,用于解析出键值对
# 请求url中常见路径参数
# pin=12345~0&d=123&e=foo@bar.com&oq=bobo&ss=12345
kv {
    source => "fieldname"               # 默认是message,可以指定其他字段
	field_split => "&?"
	allow_duplicate_values => false     # 是否允许重复键值
}
2、exclude_keys、include_keys
  • 包含、排除某些键值
kv {
	exclude_keys => [ "from", "to" ]
	include_keys => [ "from2", "to2" ]
}
3、value_split
  • 对值进行拆分
kv { 
	value_split => ":" } 
}

五、公共参数

所有筛选器插件都支持以下配置选项,只有筛选成功才能执行。

1、add_field、remove_field
  • 如果此筛选成功,可以从事件中添加删除任意字段
grok {
	add_field => {
	      "foo_%{somefield}" => "Hello world, %{somefield}"
	      "new_field" => "new_static_value"
	}
	remove_field => ["message"]
}
2、add_tag,remove_tag
  • 如果此筛选成功,可以从事件中添加删除任意标记
kv {
	add_tag => [ "foo_%{somefield}" ]
}
mutate {
	remove_tag => [ "foo_%{somefield}" ]
}

 
总结:
      可以看到基本上每个插件都有公共配置参数add_field、add_tag、remove_field、remove_tag,那这些到底放在哪个插件中使用是取决于实际情况,因为只有插件过滤成功才能从事件中添加移除。另外每个插件中都有一个 tag_on_failure 参数,grok 过滤失败会在tags字段添加 _grokparsefailure,kv 过滤失败会在tags字段添加 _kv_filter_error,其他插件同理,过滤失败都会在tags字段添加响应的元素值便于判断。

 
Reference:
https://blog.csdn.net/qq_25854057/article/details/121522310
https://www.elastic.co/guide/en/logstash/current/filter-plugins.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-date.html
https://www.elastic.co/guide/en/logstash/current/plugins-filters-kv.html

小王格子
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash-filter-java:通过实现Java接口编写logstash过滤器
05-20
本篇将详细介绍如何通过实现Java接口来编写自定义的Logstash过滤器。 首先,我们需要理解Logstash过滤器的工作原理。Logstash过滤器插件遵循特定的生命周期,主要包括初始化、事件处理和关闭三个阶段。在Java中,...
logstash
08-07
在数据被收集后,Logstash 提供了丰富的过滤器插件对数据进行清洗、转换和标准化。这包括但不限于:解析日志格式(如 JSON、CSV 或自定义格式)、提取关键字段、执行正则表达式匹配、添加或删除字段、进行地理编码等...
LogStash的配置详解
趣学程序
06-27 4560
配置语法logstash主要配置input、filter、output区段Logstash用{}来定义区域。区域内可以包括插件去预定义,可以在一个区域内定义多个插件插件区域则可以定义键值对来设置。示例:input { stdin{} syslog{}}数据类型Logstash支持少量的数据值类型:•booldebug => true•stringhost => "loc...
logstash学习——02
a123123sdf的博客
11-24 1882
目录标题一、File(Input plugins)(一)插件介绍(二)配置项(三)实例二、Grokfilter plugins)(一)插件介绍(二)配置项(三)实例三、elasticsearch (output plugins)(一)插件介绍(二)配置项(三)实例四、TCP (input plugins)(一)插件介绍(二)配置项(三) 实例五、在线工具六、参考 一、File(Input plugins) (一)插件介绍 从文件中流式传输事件,通常通过以类似于tail -0F但可选地从头读取它们的方式拖
logstash过滤器插件filter详解及实例_logstash filter 时间戳
最新发布
2401_84715926的博客
05-16 961
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则中,匹配空格和中括号要加上转义符。
logstash multiline插件想要使用pattern匹配多个指定字符串
QYHuiiQ
03-11 1787
如果是pattern想要匹配多个指定的字符串,只需要用|将每个字符串隔开: codec => multiline { pattern => "hangzhou|shanghai" //这样就可以匹配到hangzhou或者shanghai negate => true what => "previous"...
Logstash的输入、过滤、输出插件
weixin_47677347的博客
09-27 811
输入插件(Input): stdin (前台输入、用于调试) File (从主机文件中获取) Redis (从redis中获取,当量日志较大时,在filebeat与logstash之间加个redis) filebeat (logstash占用资源较大,所以使用filebeat进行日志收集) 。。。。 1、所有输入插件都支持的字段 add_field:添加一个字段到一个事件,放到事件顶部,一般用来标记日志来源 tags:添加任意数量的标签,可以用来注明日志属性 type:为所有输入添加一个字段,可
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash-6.5.0.tar.gz
11-21
Logstash 的工作流程由输入(Inputs)、过滤器Filters)和输出(Outputs)三部分组成: - 输入插件:负责接收来自不同源的数据,如文件、网络端口、JMX、数据库等。例如,你可以使用 file input 插件来读取日志...
logstash-6.3.2.tar.gz
08-16
2. **过滤器插件**:数据在收集后,可以使用过滤器插件进行清洗、转换或标准化。例如,grok 过滤器可以解析复杂日志格式,date 过滤器可以识别并设置时间戳字段,mutate 过滤器可以修改字段值。 3. **输出插件**:...
最新版 logstash-6.8.10.tar.gz
06-05
这个阶段允许用户通过一系列过滤器插件对数据进行清洗、转换和规范化。例如,grok 过滤器可以解析非结构化日志数据,将其转换为结构化格式;mutate 过滤器则可以修改字段值或删除不必要的字段。在 6.8.10 版本中,...
Logstash过滤器--mutate
热门推荐
春天的道路依然充满泥泞!
10-25 1万+
mutate过滤器能够帮助你修改指定字段的内容。 该过滤器指定配置:mutate { }参数配置1. add_tag2. convert类型是哈希,没有默认设置。改变字段的类型,比如说把string编程integer。如果字段值是数据,那么所有的值都会被改变。如果字段是哈希类型。什么也不做。boolean只接受下面的类型: True: true, t, yes, y, and 1 Fal
Logstash Filter 配置
云淡风轻
07-15 2583
笔者这里仅仅列出配置文件,在研究之后最红并没有采用在logstash的接下日志为json的做法。而是将json的输出放在了各个服务/应用中处理, spring boot的app可以参考:logstash-logback-encoderinput { beats { port => 5044 } } filter { #If log line contains tab charac
logstash date插件介绍
weixin_30512785的博客
09-13 389
时间处理(Date) 之前章节已经提过, filters/date 插件可以用来转换你的日志记录中的时间字符串,变成 LogStash::Timestamp 对象,然后转存到 @timestamp 字段里 output { if [type] == "zj_frontend_access"{ elasticsearch { ...
logstash过滤器插件filter详解及实例
qq_40907977的博客
06-08 1766
原创作者:峰哥ge 原创地址: https://www.cnblogs.com/FengGeBlog/p/10305318.html logstash过滤器插件filter grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配
logstash fliter插件的date
sdlyjzh的专栏
08-20 907
logstash fliter插件的datedate过滤器用于从字段中解析日期,然后用这个日期作为logstash中事件的时间戳(timestamp)。例如,syslog经常有这种时间戳:Apr 17 09:32:01你应该用dd HH:mm:ss这种格式解析它。date过滤器对于事件的排列以及回填旧数据都很重要。如果在你的事件中,没有得到正确的日期,那么之后搜索的结果会乱序。没有这个过滤器的情况下
logstash + grok 正则语法
weixin_33883178的博客
11-03 346
详细正则规则参考: 正则语法规则 例: 日志格式如下 [vclound][2015-11-03 03:35:50,283][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new...
logstash过滤器
11-05
Logstash是一个开源的数据收集和处理引擎,它的过滤器用于对数据进行处理和转换。 Logstash过滤器是一种用于插入处理逻辑的组件,它可以通过输入插件获取数据并经过一系列的过滤器处理后输出到输出插件中。 过滤器可以根据特定的条件来筛选和处理数据。常见的过滤器包括: - grok过滤器:用于解析和提取结构化的日志数据。它使用表达式和模式来匹配和解析日志中的字段,可以将日志数据转换为更易于理解和分析的格式。 - mutate过滤器:用于修改字段的值或结构。可以通过该过滤器添加、删除、重命名字段,修改字段类型等。 - drop过滤器:用于丢弃不符合条件的事件。可以根据指定的条件判断是否需要保留该事件,如果不符合条件,则将事件丢弃。 - conditional过滤器:根据条件来决定是否应用某个过滤器。可以根据条件判断选择不同的处理逻辑,使数据处理更加灵活。 - date过滤器:用于解析和格式化日期字段。可以将字符串类型的日期字段解析为日期对象,并按照指定的格式重新格式化。 除了以上常用过滤器外,Logstash还提供了许多其他的过滤器,可以根据具体的需求选择和配置。通过使用合适的过滤器,可以对数据进行转换、解析和过滤,以满足不同的数据处理需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值