logstash filter 笔记

最新推荐文章于 2024-07-17 13:20:15 发布
最新推荐文章于 2024-07-17 13:20:15 发布
阅读量518 收藏
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28808697/article/details/105698846
版权

1、fingerprint过滤器

filter {
    # Perform hashing on NXLog differently than other logs
    else if [type] == "nxlog-winevent" {
    # 通过使用一致的hash替换值来fingerprint字段。
    fingerprint {
      # source字段的名称,其内容将用于创建指纹。 如果给出了数组,请参见concatenate_sources选项
      source => [
          "message",
          "Hostname",
          "EventTime",
          "Channel",
          "EventID"
      ]
      # 如果设置为true并且方法不是UUID或PUNCTUATION,则插件会在进行指纹计算之前将source选项中给出的所有字段的名称和值连接到一个字符串中(例如旧的校验和过滤器)。 
      # 如果给出false和多个源字段,则目标字段将是一个具有给定源字段指纹的数组。
      concatenate_sources => true
      # 将存储生成指纹的字段的名称。 该字段的任何当前内容将被覆盖
      target => "[@metadata][log_hash]"
      method => "SHA1"
      # 如果此过滤器成功,则添加字段 z_logstash_pipeline, 其值为 fingerprint-0099-002
      add_field => { "z_logstash_pipeline" => "fingerprint-0099-002" }
    }
  }
}

fingerprint 过滤器 创建一个或多个字段的consistent 哈希(指纹),并将结果存储在新字段中。这可以用于在将事件插入Elasticsearch中时创建consistent 文档ID,从而允许Logstash中的事件引起现有文档的更新,而不是新文档的创建。

source配置选项 : source字段的名称,其内容将用于创建指纹。 如果给出了数组,请参见concatenate_sources选项。

concatenate_sources :concatenate_sources  如果设置为true并且方法不是UUID或PUNCTUATION,则插件会在进行指纹计算之前将source选项中给出的所有字段的名称和值连接到一个字符串中(例如旧的校验和过滤器)。 如果给出false和多个源字段,则target字段将是一个具有给定源字段指纹的数组。

target配置选项: target字段 将存储生成的指纹的字段的名称。 该字段的任何当前内容将被覆盖。

 

add_field配置选项: 如果此filter成功,则将任何任意字段添加到此事件中。 字段名称可以是动态的,并且可以使用%{field}包含事件的一部分。例如:

filter {
      fingerprint {
        add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
      }
    }

 如果事件的字段为“ somefield” ==“ hello”,则此过滤器成功后将添加字段foo_hello(如果存在),并将上面的值和%{host}的部分替换为事件中的值。

2、json过滤器

json解析过滤器采用一个包含JSON的现有字段,并将其扩展为Logstash事件内的实际数据结构。

默认情况下,它将解析的JSON放在Logstash事件的根(顶层)中,但是可以使target配置将JSON放入任何任意事件字段中。

当事件解析期间发生一些不良情况时,此插件有一些备用方案。 如果JSON解析失败,则事件将保持不变,并以_jsonparsefailure进行标记; 然后,您可以使用条件清理数据。 您可以使用tag_on_failure选项配置此标记。

如果解析的数据包含@timestamp字段,则插件将尝试将其用于事件@timestamp,如果解析失败,则该字段将重命名为_ @ timestamp,并且该事件将使用_timestampparsefailure进行标记。

source配置选项:

例如, 在message字段有JSON数据:

filter {
      json {
        source => "message"
      }
    }

上面过滤器会从message字段解析JSON数据。

tag_on_failure配置选项

没有成功匹配时将值追加到tags字段 

3、mutate 过滤器

mutate过滤器可让您对字段执行常规改变。 您可以重命名,删除,替换和修改事件中的字段。

gsub配置选项:将正则表达式与字段值匹配,然后将所有匹配项替换为替换字符串。 仅支持字符串或字符串数组的字段。 对于其他类型的字段,将不采取任何措施。

 filter {
      mutate {
        gsub => [
          # 使用下划线替换所有的斜杠
          "fieldname", "/", "_",
          # 使用点号. 替换反斜杠,问号,哈希和负号
          "fieldname2", "[\\?#-]", "."
        ]
      }
    }

4、kv 过滤器

此过滤器有助于自动解析key-value类型的报文(或特定事件字段)。

如果您的数据不是使用=符号和空格构成的,则可以配置任意字符串以分割数据。 例如,通过将field_split参数设置为&,此过滤器可用于解析诸如foo=bar&baz=fizz之类的查询参数。 

5、prune 过滤器

prune过滤器用于根据字段名称或其值的白名单或黑名单从事件中删除字段,(names and values can also be regular expressions)

白名单只允许匹配的字段(或者其值)通过。黑名单将匹配的字段(或者其值)排除。

6、Grok过滤器

Grok过滤器 解析任意文本并将其结构化。Grok是将非结构化日志数据解析为结构化和可查询的数据的好方法。该工具非常适合syslog日志,apache和其他Web服务器日志,mysql日志,以及通常给人类而非计算机使用的任何日志格式。

Grok通过将文本模式组合成与您的日志匹配的内容来工作。

grok模式的语法为%{SYNTAX:SEMANTIC}

SYNTAX是将与您的文本匹配的模式名称。 例如,NUMBER模式将匹配3.44,IP模式将匹配55.3.244.1。 

SEMANTIC是为匹配的文本提供的标识符。 例如,事件的持续时间(duration)为3.44,因此您可以将其简称为持续时间(duration)。 此外,字符串55.3.244.1可能会标识发出请求的client。

在上面例子中,grok过滤器应该配置成, 用来从原始日志解析出duration和client字段:

%{NUMBER:duration} %{IP:client}

Logstash默认附带大约120种模式。 您可以在这里找到它们:https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns

 

 

qq_28808697
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Logstash 使用fingerprint filter过滤重复数据
qq_28834355的博客
10-26 1218
1. 概要 工作中,Elasticsearch有个索引是通过Logstash同步Oracle数据生成的。但是又需要根据一定的规则,过滤掉重复的数据,生成另一个索引。用一张图来表示就是这样: 数据源是Oracle数据库 Logstash Input插件使用Jdbc Logstash Filter插件使用FingerPrint(指纹过滤器) Logstash Output插件就是Elasticsearch,最终输出就是ES 2. Logstash配置 话不多说,直接上配置Demo input { st
logstashfilter配置
老柴菜鸟
04-20 7145
前一篇我们已经学会了logstash-input-file插件的用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
Logstash常用的filter四大插件
zx52306的博客
07-09 1037
自定义正则匹配格式:(?自定义的正则表达式)可以自定义为。
logstash 使用详解
程序员学习圈
02-28 1256
1.安装logstash [luomk@iz2zeb7o9hu1q5dxvshng4z module]$ tar -zxvf logstash-6.3.1.tar.gz [luomk@iz2zeb7o9hu1q5dxvshng4z module]$cd config [luomk@iz2zeb7o9hu1q5dxvshng4z module]$vi log4j_t...
Logstashfilter常用的语法
习惯了想你的博客
05-11 1万+
1.根据条件删除当前消息 if "caoke" not in [docker]{ drop {} } if "caoke" != [className]{ drop {} } 删除字段 remove_field => ["message"] 添加字段mutate{ add_field => { "timestamp" => "%{[message]}"   } } 转换字段类型mutate{
logstash配置文件中filter方法介绍
最新发布
qq_37647812的博客
07-17 820
logstash配置文件中filter方法介绍
Logstash学习--Filter
春天的道路依然充满泥泞!
10-25 7977
date过滤器date过滤器的用途是从某些字段中解析出时间,然后用这个时间作为事件(event)的时间戳。但是要从某个字段中解析时间,要告诉date时间的格式,这样它才能根据指定的格式获取时间。比如说某字段的数据格式是这样的:"Apr 17 09:32:01"你要告诉date,你去哪个字段上解析时间,并且时间的格式是:MMM dd HH:mm:ss时间戳对一个事件很重要,可以帮助你实现sorting
logstash学习笔记
09-05
早期刚接触logstash时记录的学习笔记,今天翻到了就拿出来分享一下,适合初学者,大手子不要下载了。
logstash-filter-multiline
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
logstashfilter日期插件
12-15
logstashfilter日期插件,解压,在logstash的Gemfile中添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path ...
logstash-filter-kv
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
logstash-filter-verifier
04-29
Logstash筛选器验证程序已知局限性和未来工作执照 介绍用于收集和处理日志的Logstash程序很流行,通常用于处理syslog消息和HTTP... 这就是Logstash Filter Verifier的来源。它使您可以定义包含输入行以及Logstash的预
logstash filter 学习
fyj的博客
04-28 363
案例 读取文本文件 内容: vi a.cong input { stdin{} } filter{ mutate{        split=>["message",","]    }    mutate{        split=>["message",":"]    }    mutate{        add_field=>{
logstash-filter模块
小胡子
05-14 194
Fillters 在Logstash处理链中担任中间处理组件。他们经常被组合起来实现一些特定的行为来,处理匹配特定规则的事件流。常见的filters如下: grok:解析无规则的文字并转化为有结构的格式。Grok 是目前最好的方式来将无结构的数据转换为有结构可查询的数据。有120多种匹配规则,会有一种满足你的需要。 mutate:mutate filter 允许改变输入的文档,你可以从命名,删除,移动或者修改字段在处理事件的过程中。 drop:丢弃一部分events不进行处理,例如:debug event
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash过滤器插件filter详解及实例
wo4owen的博客
06-18 359
logstash过滤器插件filter详解及实例 1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址。 例如: 我们的试验数据是: 172.
logstashfilter的使用
poplarandwillow的博客
09-19 1153
Logstash filter 的使用 原文地址:http://techlog.cn/article/list/10182917 概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本解析工具 – Grok grok 是一个十分强大的 logstash ...
logstash配置文件
weixin_33670786的博客
06-26 438
1. 安装 logstash 安装过程很简单,直接参照官方文档: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html # rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch # vim /etc/yum.repos....
logstash 6.3.2 filter 过滤器各种方法
wanglei_storage的博客
09-12 4524
input { file { path => "/data/logs/nginx_logs/access.log" type => "dev-chuiyi-site-landing-1&a
logstash filter
09-20
Logstash filterLogstash的一个组件,用于对数据进行处理和转换。在Logstashfilter插件中,有一些常用的选项,例如add_field、remove_field、add_tag、remove_tag。这些选项可以通过在配置中设置相应的值来实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值