ELK Logstash 自定义正则模式patterns_dir

最新推荐文章于 2024-06-24 20:10:19 发布
最新推荐文章于 2024-06-24 20:10:19 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: ELK 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/111585011
版权

如果过滤插件里面自带的正则匹配无法满足你的需求,那么你可以写自己的正则匹配规则,如何使用,CID [0-9]{5,6}这个是自定义规则

[root@localhost ~]# cat /usr/local/logstash/conf.d/test.conf 
input {
  file {
    path => "/var/log/test.log"
  }
}

filter {
 grok {
   patterns_dir => "/opt/patterns"
   match => {
   "message" => "%{IPV4:client_ip} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:id}"
  } 
 } 
}

output {
  elasticsearch {
    hosts => ["192.168.179.102:9200"]
    index => "test-%{+YYYY.MM.dd}"
 }
}
[root@localhost ~]# cat /opt/patterns
CID [0-9]{5,6}

[root@localhost ~]#  echo "192.168.1.10 GET /login.html 12345 0.666 11111" >> /var/log/test.log

192.168.1.10 GET /login.html 12345 

(?<ip>\d+\.\d+\.\d+\.\d+) (?<method>\w+) (?<request>/.*) (?<bytes>\d+)

可以看到根据我们写的正则也可以进行字段的过滤,其他日志类型也可以写类似的

 

Grok多模式匹配(兼容多种日志)

如果一个日志文件下有多个日志格式怎么办?例如项目新版本添加一个日志字段,需要兼容旧日志匹配 使用多模式匹配,写多个正则表达式,只要满足其中一条就能匹配成功
例如: 
# cat /opt/patterns
CID [0-9]{5,6}
TAG \w+
filter {
  grok {
  patterns_dir =>"/opt/patterns"
  match => [
  "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:cid}",
  "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{EID:eid} %{TAG:tag}"
   ] 
  } 
}

Elasticsearch

grok {
      match => ["message", "\[%{TIMESTAMP_ISO8601:timestamp}\]\[%{DATA:loglevel}%{SPACE}\]\[%{DATA:source}%{SPACE}\]%{SPACE}\[%{DATA:node}\]%{SPACE}\[%{DATA:index}\] %{NOTSPACE} \[%{DATA:updated-type}\]",
                "message", "\[%{TIMESTAMP_ISO8601:timestamp}\]\[%{DATA:loglevel}%{SPACE}\]\[%{DATA:source}%{SPACE}\]%{SPACE}\[%{DATA:node}\] (\[%{NOTSPACE:Index}\]\[%{NUMBER:shards}\])?%{GREEDYDATA}"]
   }

 

富士康质检员张全蛋
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
logstash-patterns:用logstash解析和构造日志消息的Grok模式
05-26
Logstash模式 使用解析和构造不同服务的日志消息的模式。 使用调试您的图案! 注意,可能会有细微的差异! 向该存储库发出拉取请求时,请不要忘了包含您的提交尝试解析的消息的示例!! 添加图案 通常在自己的文件中开发一个新的模式,然后将主要的新模式称为<something>_MSG 。 比您可以做的: 延长RSYSLOGMESSAGE在rsyslog有一个新的特征码文件,通过与它连接| 并将新模式放在GREEDYDATA之前。 这仅需要一个新的rpm,而无需更改配置。 这对于测试非常方便。 在测试配置中的新模式添加到列表中的grok的前过滤器RSYSLOGMESSAGE如下: %{RSYSLOGPREFIX}%{<something>_MSG}这需要在quattor一个新的rpm和配置改变了。 仅当模式被认为是稳定的时才应执行。
docker部署logstash自定义pattern
weixin_42715225的博客
04-18 777
#### 前言 为了能够更好的根据不同的日志格式,去进行处理展示我们需要日志进行,需要使用到logstash自定义pattern #### 准备工作 ##### 时区文件 保证容器服务的时间与宿主机的时间一致 ``` cat > /etc/timezone <<-EOF Asia/Shanghai EOF ``` ##### gunicorn `...
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_85599426的博客
06-24 409
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!message解析后得到的键值对数据。[外链图片转存中…(img-9GvDKst5-1719231007414)][外链图片转存中…(img-aGnbao1M-1719231007414)]
日志分析(二) logstash patterns
weixin_33845881的博客
05-04 107
grok-patterns内置了很多基础变量的正则表达式的log解析规则,其中包括apache的log解析(同样可以用于nginx的log解析)。 基于nginx日志分析配置: 1.配置nginx日志格式如下: log_format main '$remote_addr [$time_local]' ' "$request" $status $body_bytes_sent' ' ...
logstash-patterns:记录日志的模式
05-19
对数模式 记录日志的模式 模式 dhcpd 解析ISC DHCPD日志以获取包类型消息。 鸽舍 解析Dovecot日志消息并分解元素。 发展 使用捆绑包安装依赖项 bundle install --path vendor 确保没有损坏的rspec测试 bundle exec rspec 为您的模式编写测试 确保规范中的日志行是匿名的
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
logstash ELK
11-05
**Logstash ELK 知识点详解** Logstash 是 Elastic Stack 的重要组成部分,与 Elasticsearch (EL) 和 Kibana (K) 合称为 ELK Stack。这个强大的工具主要用于日志管理和分析,它允许用户从各种数据源收集数据,进行...
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash的数据采集案例(一) 03 Logstash的数据采集案例(二) 04...
自定义logstash配置文件
08-10
自定义文件的logstash的配置文件
springboot-elk_springboot_elk_
09-29
本文将详细解析如何将SpringBoot与ELK(Elasticsearch、Logstash、Kibana)集成,以实现高效、可扩展的日志管理和分析。 首先,SpringBoot是基于Spring框架构建的轻量级开发工具,它简化了创建独立的、生产级别的...
nginx的正则表达式,logstash
12-10
nginx的正则表达式,logstash用。grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。
Logstash使用指南_logstash输出自定义,2024年最新附项目源码
2401_84170522的博客
04-17 663
在这里,我们将group_id设置为“my_group”,auto_offset_reset设置为“earliest”,这意味着如果从Kafka中没有找到之前的消费记录,将从最早的消息开始消费。在上面的示例中,我们首先获取Logger对象,然后获取LoggerContext对象,通过LoggerContext获取Configuration对象,再通过Configuration获取Logstash的Appender对象和Layout对象。建议在生产环境中进行充分的测试和调整,以确保配置的正确性和效果。
ELK: logstash gork filter 多个模式pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 1913
项目里用logstash分析日志,由于有多种模式pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
logstash配置文件详解
Lamar's Blog
03-10 4万+
Logstash实际应用配置详解背景业务目的是能够分析nginx和apache每天产生的日志,对url、ip、rest接口等信息进行监控,并将数据发送到elasticsearch服务。
logstash中grok自带的pattern如何查看
QYHuiiQ
05-09 1898
有的时候我们想看一下logstash中grok自带的patterns,可以从根源了解它的匹配规则,这里就记录一下它藏的地方: logstash安装包/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns cat grok-patterns ...
logstash之filter-patterns库的正则表达式非格式化的数据格式化
传智燕青
11-24 457
patterns正则表达式库介绍 默认grok调用的是:/logstash-5.5.2/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.1.1/patterns 这个目录下的正则 上面的例子,可以这样写: input {stdin{}} filter { grok { match => { # "messa...
ELK学习笔记之Logstash详解
u011250186的博客
08-17 429
ELK学习笔记之Logstash详解
ELK正则、L的Grok过滤
高精尖发展
04-12 1593
前言: 之前的博客中写了通过正则配置filebeat的多行文本,正则logstash的gork中也起了至关重要的作用,下面就让我们来了解一下正则吧,今天上午看了菜鸟教程关于正则的知识点,对正则有了些许了解,通过这些了解把filebeat中的正则复制一把吧; 正则表达式(regular expression)一种文本模式,描述了一种字符串匹配的模式pattern),可以用来检查一个串是...
ELK logstash 配置
09-22
ELK(Elasticsearch, Logstash, Kibana)是一个开源的日志分析平台,其中Logstash是用于日志收集、处理和转发的工具。在Logstash中,可以使用配置文件来定义输入(input)、过滤器(filter)和输出(output)等部分...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值