Logstash过滤器之Mutate过滤器详解

最新推荐文章于 2023-07-12 16:13:49 发布
最新推荐文章于 2023-07-12 16:13:49 发布
阅读量4.3k 收藏 7
点赞数 3
文章标签: Elastic logstash 过滤器 Elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26462567/article/details/107927178
版权

Mutate(改变)过滤器插件

该文章内容参考官方文档7.8版本,由于使用范围有限并未翻译全篇文章

描述

Mutate过滤器允许你执行一些对字段的修改操作。你可以通过这个过滤器对事件中的字段进行重命名,移除,替换和修改。

处理命令

在Mutate过滤器的配置文件中可以执行如下命令:

  • coerce
  • rename
  • update
  • replace
  • convert
  • gsub
  • uppercase
  • capitalize
  • lowercase
  • strip
  • remove
  • split
  • join
  • merge
  • copy

你可以在不同的mutate配置块中使用这些命令。 例如:

filter {
    mutate {
        split => ["hostname", "."]
        add_field => { "shortHostname" => "%{hostname[0]}" }
    }

    mutate {
        rename => ["shortHostname", "hostname" ]
    }
}

Mutate过滤器的配置选项

下面是过滤器支持的配置项,配置项详情参考下面的详解。

选项类型是否必须简述
converthashNo转化命令,是对字段类型做转化,例如:String转为integer
copyhashNo将一个已经存在的字段复制给另一个字段。
gsubarrayNo通过正则表达式匹配字段的值,然后替换为指定的字符串。
joinhashNo使用分隔符连接数组。
lowercasearrayNo将string类型的字段值转化为小写的形式。
mergehashNo合并两个数组或者Hash类型的字段。string类型的字段会自动的合并为一个数组。
coercehashNo为存在但是不为空的字段设置默认值
renamehashNo字段重命名
replacehashNo将一个字段的值替换为一个新的值。
splithashNo将一个字段按照指定符号切割为数组。
striparrayNo去除字段中的空格。
updatehashNo更新字段为一个新值。
uppercasearrayNo将字符串字段转化为大写形式。
capitalizearrayNo将字符串字段转化为首字母大写的形式。
tag_on_failurestringNo错误发生时的配置

convert

  • 字段类型为 hash
  • 没有默认值

将字段转化为不同的类型,例如:string 转 integer。如果被转化的字段类型是数组,数组的所有成员都将被转化。如果对象是hash 就不会进行转化。

实例:

filter {
  mutate {
    convert => {
      "fieldname" => "integer"
      "booleanfield" => "boolean"
    }
  }
}

copy

  • 字段类型为 hash
  • 没有默认值

将一个已经存在的字段复制给另一个字段。如果目标字段已经存在,目标字段的值将被覆盖。

实例:

filter {
     mutate {
        copy => { "source_field" => "dest_field" }
     }
   }

gsub

  • 字段类型为 array
  • 没有默认值

通过正则表达式匹配字段的值,然后替换为指定的字符串。只有字段类型是string类型或者string数组类型才会进行匹配替换。其他类型字段不会做任何操作。

注意配置文件中需要转义斜杠线。

实例:

filter {
  mutate {
    gsub => [
      # replace all forward slashes with underscore
      "fieldname", "/", "_",
      # replace backslashes, question marks, hashes, and minuses
      # with a dot "."
      "fieldname2", "[\\?#-]", "."
    ]
  }
}

join

  • 字段类型为 hash
  • 没有默认值

使用分隔符连接数组。如果不是数组则不执行操作。

实例:

filter {
  mutate {
    join => { "fieldname" => "|" }
  }
}

[“a”,“b”]转为 “a”|“b”

lowercase

  • 字段类型为 array
  • 没有默认值

将string类型的字段值转化为小写的形式。

实例:

filter {
      mutate {
        lowercase => [ "fieldname" ]
      }
    }

merge

  • 字段类型为 hash
  • 没有默认值

合并两个数组或者Hash类型的字段。string类型的字段会自动的合并为一个数组。例如:
array + string 可以合并为一个数组
string + string 会合并为数组
arrayhash 类型的两个字段将不会执行合并.

实例:

filter {
  mutate {
     merge => { "dest_field" => "added_field" }
  }
}

coerce

  • 字段类型为 hash
  • 没有默认值

为存在但是不为空的字段设置默认值。

实例:

filter {
  mutate {
    # Sets the default value of the 'field1' field to 'default_value'
    coerce => { "field1" => "default_value" }
  }
}

rename

  • 字段类型为 hash
  • 没有默认值

字段重命名
实例:

filter {
      mutate {
        # Renames the 'HOSTORIP' field to 'client_ip'
        rename => { "HOSTORIP" => "client_ip" }
      }
}

replace

  • 字段类型为 hash
  • 没有默认值

将一个字段的值替换为一个新的值。新值可以包括%{foo}字符串,以帮助您从事件的其他字段构建出新值。
实例:

filter {
  mutate {
    replace => { "message" => "%{source_host}: My new message" }
  }
}

split

  • 字段类型为 hash
  • 没有默认值

将一个字段按照指定符号切割为数组。仅在string类型的字段中生效。
实例:

filter {
  mutate {
     split => { "fieldname" => "," }
  }
}

strip

  • 字段类型为 hash
  • 没有默认值

去除字段中的空格。NOTE:去除字段中前端部分.

实例:

filter {
  mutate {
     split => { "fieldname" => "," }
  }
}

update

  • 字段类型为 hash
  • 没有默认值

更新字段为一个新值。如果这个字段不存在,更新将不执行。

实例:

filter {
  mutate {
    update => { "sample" => "My new message" }
  }
}

uppercase

  • 字段类型为 hash
  • 没有默认值

将字符串字段转化为大写形式。

实例:

filter {
  mutate {
    uppercase => [ "fieldname" ]
  }
}

capitalize

  • 字段类型为 hash
  • 没有默认值

将字符串字段转化为首字母大写形式。

实例:

filter {
  mutate {
    capitalize => [ "fieldname" ]
  }
}

tag_on_failure

  • 字段类型为 hash
  • 默认值_mutate_error

如果在过滤器中发生了错误,这次操作将不会执行,并且提供一个标记标记当前事件。

keep-go-on
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
logstash-filter-dedupe:Redis的重复数据删除过滤器
05-17
注意:正在进行中,大多数def暂时不起作用! Logstash重复数据删除插件 这是的插件,旨在处理在HA体系结构中进入Logstash集群的事件的重复数据删除。 我们通过对要删除重复数据的字段进行哈希处理并将其存储在我们随后要检查的数据存储中来实现此目的。 如果找到匹配项,我们将对其进行标记。 然后,您可以继续删除{}它或类似的东西。 快速开始 对于初学者来说,此插件将redis用作其数据存储,以便您可以让多个logstash节点共享相同的重复数据删除信息。 您需要下载redis并将其安装在某个地方。 接下来,您需要使用/opt/logstash/bin/plugin -install logstash-filter-dedupe 最后,将过滤器添加到您的logstash配置中: filter { dedupe { keys => ["keys", "to", "h
logstash-filter-translate:Logstash 的翻译过滤器
05-29
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新
logstash-filter-varnishlog:一个logstash过滤器插件,读取按ID分组的varnishlog
02-10
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是可以以任何方式使用。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参见此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个新的插件或克隆并存在。 我们还提供了。 安装依赖 bundle install 测试 更新你的依赖
logstash-filter-crowd:使用 Atlassian Crowd REST API 查找用户信息的 Logstash 过滤器
06-24
Logstash 插件 用于用户查找的 Atlassian Crowd REST API 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 通过对 Atlassian Crowd 服务器进行 REST API 调用,根据用户名查找用户电子邮件。 Atlassian Stash Auth 日志的示例 Grok 过滤器。 STASH_CAPTCHA %{IP:proxy},%{IP:client} \| %{WORD:error} \| %{WORD:user1} \| %{INT:epoch_time} \| %{WORD:user2} \| (?<error>{%{QS}:%{QS},%{QS}:"For security reasons you must answer a CAPTCHA question."}
logstash-filter-redis:Logstash过滤器将选定的事件数据存储在Redis中以添加到以后的事件中
05-23
待办事项:从此文件和许可证/版权/等中删除/更改Elasticsearch示例文本... Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令 有关更多asciidoc格式化技巧,请参阅此处的出色参考 需要帮忙? 需要帮忙? 在freenode IRC或论坛上尝试#logstash。 发展 1.插件开发与测试 代码 首先,您需要安装了Bundler gem的JRuby。 从GitHub 组织创建一个
Logstash:使用 mutate 过滤器
Elastic 中国社区官方博客
06-01 8787
如果你对 Logstash 还没有了解的话,请参阅我之前的文章 “Logstash:Data转换,分析,提取,丰富及核心操作”。在今天的文章中,我们将介绍 Logstash 中的 mutate 过滤器插件。 在数据管道中使用 Logstash 的好处之一是能够根据系统和组织的需求将数据转换为所需的格式。 在 Logstash 中有多种转换数据的方法,其中一种是使用 mutate 过滤器插件。 这个 Logstash 过滤器插件允许您将字段强制为特定的数据类型,并添加,复制和更新特定的字段以使其在整个环境
Logstash 与 filebeat 配置
王小明的专栏
01-16 1401
mutate插件可以对事件中的数据进行修改,包括rename、update、replace、convert、split、gsub、uppercase、lowercase、strip、remove_field、join、merge等功能。 1、rename 对于已经存在的字段,重命名其字段名称。 filter { mutate { rename =&...
Logstash ——filter 四大过滤插件
q1y2y3的博客
07-12 965
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
ELK + Filebeat 部署及 logstash 的四大插件(grok、date、mutate、multiline)
weixin_60917414的博客
07-12 2092
自定义表达式格式:(?<自定义名称>正则表达式)
logstash~filter.mutate插件使用教程(附带示例)
feizuiku0116的博客
04-27 953
一、mutate插件介绍 1.描述 muatet过滤器允许用户对字段进行改变,可以重命名、替换和修改事件中的字段。 2.操作顺序 coerce rename update replace convert gsub uppercase capitalize lowercase strip split join merge copy 二、convert 功能:类型转换 介绍:将目标字段转换为目标类型 类型介绍: integer:将字段转换为整数,逗号分隔符和点小数 1,000=1000 1.000=1
logstash-filter-java:通过实现Java接口编写logstash过滤器
05-20
Logstash过滤器Java 通过实现Java接口编写logstash过滤器
logstash-filter-jdbc_streaming:可以使用数据库中的数据丰富事件的 Logstash 过滤器
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 JDBC 流过滤器插件已移动 这个 JDBC Streaming Filter Plugin 现在是的一部分; 在可能的情况下,该项目仍对该项目的修复向后移植到 5.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展
logstash-filter-sequence:日志过滤器序列
06-05
过滤器将为具有相同时间戳的事件分配一个序列,以便通过对序列进行排序,以正确的顺序显示它们。 开始吧: 克隆到 /opt(例如) git clone https://github.com/pauljb/logstash-filter-sequence.git 建造 cd /opt/logstash-filter-sequence gem build logstash-filter-sequence.gemspec 安装 bin/plugin install /opt/logstash-filter-sequence/logstash-filter-sequence-0.1.1.gem 这个插件的代码最初来自这里: : 在 Logstash 中使用: 在您可能拥有的任何多行过滤器之后使用: sequence{} 从弹性搜索中按顺序排序。 例
logstash_filter_f5:适用于F5 APD,DCC,SSHD和TMM系统日志的Logstash过滤器
05-01
F5 Logstash过滤器 主意 将F5日志发送到Elastic Stack,并应用过滤器以启用高级分析。 地位 在生产中。 如何 请检查以获取有关如何使用此插件的更多信息。 帮助 如果您发现错误或有功能请求,请在GitHub上发布问题。...
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
云计算基础课件—架构dr.pptx
04-25
云计算基础课件—架构dr.pptx
067ssm-jsp-mysql艺诚美业管理系统.zip(可运行源码+数据库文件+文档)
04-25
L文主要是对艺诚美业管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求,以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对艺诚美业管理系统进行了一些具体测试。 本文以JSP为开发技术,实现了一个艺诚美业管理系统。艺诚美业管理系统的主要使用者分为管理员;个人中心、会员管理、员工管理、员工打卡管理、技师预约管理、发型美容师管理、技师类型管理、套餐信息管理、套餐类型管理、套餐购买管理、会员充值管理、系统管理,员工;个人中心、员工打卡管理、技师预约管理,会员;个人中心、技师预约管理、套餐购买管理、会员充值管理,前台首页;首页、发型美容师、套餐信息、我的、跳转到后台等功能。通过这些功能模块的设计,基本上实现了整个艺诚美业管理系统的过程。 具体在系统设计上,采用了B/S的结构,同时,也使用JSP技术在动态页面上进行了设计,后台上采用Mysql数据库,是一个非常优秀的艺诚美业管理系统。 关键词 :艺诚美业管理系统;JSP技术;Mysql数据库;B/S结构
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:242】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 有管理员,外卖员,餐厅,用户共四个角色。管理员功能有个人中心,外卖员管理,餐厅管理,用户管理,菜品分类管理,菜品信息管理,外卖订单管理,订单配送管理,订单评价管理,在线留言管理,系统管理等。外卖员,餐厅,用户都可以在微信小程序上面进行注册和登录操作。餐厅角色可以在微信小程序上面进行菜品的添加,修改,删除,查询操作,可以对用户的订单进行审核操作,查看订单配送状态和评价,可以查看投诉反馈和在线留言等。外卖员角色可以在微信小程序上面进行订单的抢单操作,查看订单配送和评价信息等。 用户角色可以在微信小程序上面进行菜品的查看和查询,对自己下的订单进行支付操作,查看订单配送和对订单评价,收藏菜品等操作。
oplog4j是java项目生成操作日志的工具,兼容spring(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
logstash过滤器
11-05
Logstash是一个开源的数据收集和处理引擎,它的过滤器用于对数据进行处理和转换。 Logstash过滤器是一种用于插入处理逻辑的组件,它可以通过输入插件获取数据并经过一系列的过滤器处理后输出到输出插件中。 过滤器可以根据特定的条件来筛选和处理数据。常见的过滤器包括: - grok过滤器:用于解析和提取结构化的日志数据。它使用表达式和模式来匹配和解析日志中的字段,可以将日志数据转换为更易于理解和分析的格式。 - mutate过滤器:用于修改字段的值或结构。可以通过该过滤器添加、删除、重命名字段,修改字段类型等。 - drop过滤器:用于丢弃不符合条件的事件。可以根据指定的条件判断是否需要保留该事件,如果不符合条件,则将事件丢弃。 - conditional过滤器:根据条件来决定是否应用某个过滤器。可以根据条件判断选择不同的处理逻辑,使数据处理更加灵活。 - date过滤器:用于解析和格式化日期字段。可以将字符串类型的日期字段解析为日期对象,并按照指定的格式重新格式化。 除了以上常用的过滤器外,Logstash还提供了许多其他的过滤器,可以根据具体的需求选择和配置。通过使用合适的过滤器,可以对数据进行转换、解析和过滤,以满足不同的数据处理需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

keep-go-on

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值