ELK logstash过滤插件Grok的使用

最新推荐文章于 2024-02-22 09:19:09 发布
最新推荐文章于 2024-02-22 09:19:09 发布
阅读量706 收藏 1
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/111518251
版权

过滤插件:Grok

如果业务项目都能够按照json格式输出的话那么处理起来会很容易,那么使用之前的json插件就可以快速解析为结构化的数据。但是有些日志的格式就不符合json格式也不能自定义,那么kv json插件就用不到的。

Grok插件可以支持正则,能够从非结构化的日志当中提取出关键字段,负责将非结构化数据解析为结构化的数据,logstash默认支持了很多正则

Grok插件:如果采集的日志格式是非结构化的,可以写正则表 达式提取,grok是正则表达式支持的实现。 常用字段:
  • match 正则匹配模式
  • patterns_dir 自定义正则模式文件

Logstash内置的正则匹配模式,在安装目录下可以看到,路径:

[root@localhost ~]# cat /usr/local/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns 
USERNAME [a-zA-Z0-9._-]+
USER %{USERNAME}
EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+
正则匹配模式语法格式:%{SYNTAX:SEMANTIC}
  • SYNTAX 模式名称,模式文件中的第一列
  • SEMANTIC 匹配文件的字段名
例如: %{IP:client}
 
 

如何使用其内置的正则匹配模式?

这里是kiban内置对grok表达式测试的功能

请求的客户端ip 请求的方法 请求的uri  返回数据大小 相应时间

192.168.1.10 GET /index.html 15824 0.043

现在使用grok的内置正则匹配模式,怎么取出来?

IPV4 (?<![0-9])(?:(?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5])[.](?:[0-1]?[0-9]{1,2}|2[0-4][0-9]|25[0-5]))(?![0-9])

%{IPV4:client_ip}

IPV4 内置正则表达式第一列的名称 冒号后面跟着的是你将匹配的结果保存在日志数据的字段名是什么,这个字段名会存在es里为我们在kibana里面去查询,所以这个字段要取名有意义

WORD \b\w+\b 匹配文本

再匹配,这里是uri

URIPATHPARAM %{URIPATH}(?:%{URIPARAM})?  匹配uri路径

 将数字配匹

NUMBER (?:%{BASE10NUM})

%{IPV4:ip} %{WORD:method} %{URIPATHPARAM:uri} %{NUMBER:bytes} %{NUMBER:durtion}

 

这里不使用grok做过滤

[root@localhost ~]# echo "192.168.1.10 GET /index.html 15824 0.043" >> /var/log/test.log

可以看到在Kibana里面meaasge还是保存了原始的字段

 

这行日志为非结构化的日志,就不利于我们去查询了,比如请求时间大于1S的请求,要进行优化处理。所以要将非结构化的日志转化为结构化的日志,将关键的信息转化为字段,这样就可以针对某个字段进行针对性查询。

[root@localhost ~]# cat /usr/local/logstash/conf.d/test.conf 
input {
  file {
    path => "/var/log/test.log"
  }
}

filter {
 grok {
   match => {
   "message" => "%{IPV4:client_ip} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}"
  } 
 } 
}

output {
  elasticsearch {
    hosts => ["192.168.179.102:9200"]
    index => "test-%{+YYYY.MM.dd}"
 }
}

[root@localhost ~]# echo "192.168.1.10 GET /login.html 12345 0.666" >> /var/log/test.log

 可以看到根据字段可以组合起来进行查询这就是做结构化日志最重要的目的

富士康质检员张全蛋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK - Logstash - Grok filter plugin
chuckchen1222的博客
12-27 302
解析任意文本。 Grok是一种将非结构化日志数据解析为结构化和可查询内容的好方法。该工具非常适合于syslog日志、apache和其他web服务器日志、mysql日志,以及一般情况下任何为人类编写的日志格式,而不适合于计算机使用。   Grok or Dissect ? Or both? dissect filter plugin是使用分隔符将非结构化事件数据提取到字段中的另一种方法。 ...
elkgrok过滤参考文章
yuezhilangniao的博客
01-01 154
http://grokdebug.herokuapp.com/?## 调试网站 elki界面开发工具貌似也可以用 收藏夹里几篇文章讲的不错 不过学习还得靠自己动手才行 尤其是正则
logstash grok正则调试
weixin_30654583的博客
08-29 229
logstash 正则调试; nginx 配置; log_format main '$remote_addr [$time_local] "$request" '; logstash: "message" =>"%{IPORHOST:clientip} \[%{HTTPDATE:time}\] \"%{WORD:verb} %{URIPATHPARAM:request} H...
OpenGrok的安装和使用
jeff的专栏
03-18 5818
一. 介绍 最近在从事Android框架开发有关的项目,需要查看和修改Android的源码. 由于android的源码繁多,所以查看起来比较困难 在这里推荐OpenGrok这款工具,它是一款基于web的免费的代码查看工具,它可以导入整个源代码目录,然后为它建立索引,加快搜索速度 优点: a. 直观,好用,安装简单;              b. 而且搜索代码,文件都很方便迅速,可以准
graylog 使用之 编写 grok 表达式
qq_33451502的博客
11-25 1333
grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。 graylog 集成了 grok ,可以使用grok表达式 对日志进行 拆分匹配。 1.grok调试网址 :http://grokconstructor.appspot.com/ (这个是外国的网址,需要科学上网进行浏览。) 进入grok...
logstash-filter-grok-4.0.4.zip
01-15
GrokLogstash 中的一个核心过滤插件,专门用于解析和提取非结构化日志数据中的关键信息,使其转化为结构化数据,便于后续处理和分析。 在 Logstash 4.0.4 版本中,Grok 过滤插件扮演着至关重要的角色。它...
elk部署需要的工具logstash
08-30
- 配置文件:Logstash 使用配置文件(通常为 `logstash.conf`)来定义输入、过滤和输出的管道。每个部分以 `input { ... }`, `filter { ... }` 和 `output { ... }` 分隔。 - 启动与运行:通过执行解压后的 bin/...
logstash监听交换机端口区分不通网络设备型号
11-25
在IT监控领域,Logstash 常常与 ELK (Elasticsearch, Logstash, Kibana) 堆栈结合使用,用于日志管理和可视化。在这个特定的场景中,Logstash 被配置来监听交换机的端口,以区分不同类型的网络设备。 首先,让我们...
elk:elasticsearch+logstash+kibana
07-14
2. **过滤插件**: 可自定义过滤逻辑,如grok解析日志格式,mutate修改字段值,geoip获取IP地理位置信息等。 3. **输出插件**: 支持Elasticsearch、stdout、Kafka等多种输出目标。 4. **线性扩展**: 通过添加更多的...
elasticsearch+kibana+logstash ELK资料整理
05-11
2. **过滤插件**: 可以对数据进行解析、转换、删除或添加字段,例如 grok filter 用于解析日志格式。 3. **输出插件**: 包括 Elasticsearch 输出,将处理好的数据写入 Elasticsearch,还有其他如 Redis、Kafka 等...
java 通过正则表达式_java-grok通过正则表达式解析日志
weixin_42466868的博客
02-28 1181
项目中有一个新的需求,就是需要解析日志,将日志中的部分数据分析获取出来供系统使用,通俗的讲就是抓取日志中的部分有用的信息,比如下面的apache日志信息,我需要解析每行日志,获取每行日志的IP地址、用户、创建时间、请求方式、地址....如果我们单纯使用java的方式,可能会想到通过文件流读取日志信息,然后逐行解析字符串,但是这种方式太过于复杂,而且效率比较低,在网上查询了相关的资料,决定使用log...
Logstash 插件 grok 使用
最新发布
mybabytao的博客
02-22 451
Logstash 插件 grok 使用 ,以及应用到ELKB
Elasticsearch:在 ES|QL 中使用 DISSECT 和 GROK 进行数据处理
Elastic 中国社区官方博客
11-07 1090
你的数据可能包含你想要结构化的非结构化字符串。这使得分析数据变得更加容易。例如,日志消息可能包含你想要提取的 IP 地址,以便你可以找到最活跃的 IP 地址。对于使用Logstash 及 Ingest pipeline 的开发者来说,DISSECT 及 GROK 对你们来说并不陌生。Elasticsearch 可以在索引时或查询时构建数据。在索引时,你可以使用和摄取处理器,或 Logstash过滤器。在查询时,你可以使用 ES|QL和命令。在 ES|QL 中使用 DISSECT 和 GROK 进行数据
ELK日志处理之使用Grok解析日志
1.02^365=1377.41
03-17 2万+
介绍如何在logstash使用Grok和正则表达式解析任意格式日志,以及Grok Debugger的使用
logstash+grok+json+elasticsearch解析复杂日志数据(一)
热门推荐
cuixuange的博客
11-25 2万+
这几天学习了logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤插件,输出插件等等,甚至还有许多美未能进入官
ELK Logstash Grok入门指南
小楼一夜听春雨,深巷明朝卖杏花
12-09 710
A Beginner’s Guide to Logstash Grok(https://logz.io/blog/logstash-grok/) The ability to efficiently analyze and query the data being shipped into theELK Stackdepends on the information being readable. This means that as unstructured data is being inge...
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1324
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段中...
logstash + grok 正则语法
weixin_33883178的博客
11-03 347
详细正则规则参考: 正则语法规则 例: 日志格式如下 [vclound][2015-11-03 03:35:50,283][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new...
Elasticsearch Grok Pattern内置表达式大全
qq_28834355的博客
10-30 1130
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+ EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME} HTTPDUSER %{EMAILADDRESS}|%{USER} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0
ELK堆栈配置与实践:LogstashGrok与Multiline应用详解
2. **线程管理(-pipeline-workers或-w)**:设置`--pipeline-workers`参数可以控制Logstash在执行过滤器(filter)和输出(output)时使用的线程数,默认值是CPU核心数,有助于优化性能和并发处理能力。 3. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值