logstash grok 自测实例+常用正则(grok-patterns)

最新推荐文章于 2024-06-10 15:01:08 发布
最新推荐文章于 2024-06-10 15:01:08 发布
阅读量9.1k 收藏 14
点赞数 4
分类专栏: ELK 文章标签: grok elk logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34646817/article/details/81333981
版权

一、背景

研究了grok一下整天,虽然知识还是很浅薄,但还是在这里做个总结。

二、自测示例

下一章罗列了常用的一些正则,规则详情也有;在进行记忆学习前,我先展示下我自己的自测学习示例。

日志

我这边有一个log4j的日志,部分展示如下

[2018-07-10T16:22:30,001] AbstractBeanFactory(doGetBean:248): Returning cached instance of singleton bean 'mainCtl'
[2018-07-10T16:22:30,007] MainCtl(doControl:52): current tradecode:trigger_timer,flowsn:1
[2018-07-10T16:22:30,008] FlowParser(getFlowInfo:462): debugow:C:\Users\61661\Downloads\tinyWebDemo\tinyWebDemo1\src\main\resources\flow\trigger_timer.flow
[2018-07-10T16:22:30,009] MainCtl(doControl:60): flowInfos:{
  1=id:1,name:script}
[2018-07-10T16:22:30,011] AbstractBeanFactory(doGetBean:248): Returning cached instance of singleton bean 'enumTools'
[2018-07-10T16:22:30,013] AbstractBeanFactory(doGetBean:248): Returning cached instance of singleton bean 'jsDemo'
[2018-07-10T16:22:30,013] JsDemo(init:18): js demo init
[2018-07-10T16:22:30,019] TinyLog(debug:17): [null-trigger_timer] do function trigger_timer_1
[2018-07-10T16:22:30,019] TinyLog(info:21): [null-trigger_timer] start timer......
[2018-07-10T16:22:30,020] MainCtl(doControl:103): :2ms
grok配置

grok的编写配置虽然不难,但是很容易出错,要善于学会使用grok debugger来测试。
这边给一个中文版的测试网站(英文的要翻墙):http://grok.qiexun.net/

测试结果如下图,表达式为:

\[%{TIMESTAMP_ISO8601:logdate}\] %{
    WORD:AA}\(%{
    WORD:BB}:%{
    WORD:BB}\): %{
    GREEDYDATA:C}

这里写图片描述

编写conf文件

说明:以下命令根据自己的路径进行调整

当前目录下编写conf文件

input {
    file {
         #日志所在目录
        path => ["/opt/data/test.log"]
        type => "system"
        #从文件开始的地方读
        start_position => "beginning"
        #这个是我爬过的坑 T.T ,写上下面的这段,反复重启的时候,才会从文件开始的地方读
        sincedb_path => "/dev/null"
    }
}
filter {
    grok {
      match => { "message" => "\[%{TIMESTAMP_ISO8601:logdate}\] %{WORD:AA}\(%{WORD:BB}:%{WORD:BB}\): %{GREEDYDATA:C}" }
    }
    date {
      match => [ "logdate", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
    }
}
output{
     stdout{
       codec=>rubydebug{}
    }
}
logstash 解析

执行命令

/opt/elk/logstash-6.2.2/bin/logstash -f test.conf

最后结果如下(截取了一部分):

{
          "host" => "hadoop02",
       "message" => "[2018-07-10T16:22:30,019] TinyLog(debug:17): [null-trigger_timer] do function trigger_timer_1",
      "@version" => "1",
       "logdate" => "2018-07-10T16:22:30,019",
最低0.47元/天 解锁文章
小小猪0904
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2763
文章目录前言一、grok-patterns二、自定义grok-patterns正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
ELK logstash gork匹配在线测试
夏已微凉、
09-28 4855
1、在线调试2、kibana 中调试 1、在线调试 grok debugger 在线调试 内容 [2020-09-26 08:34:41] 127.0.0.1 GET local.test.com:8010/index/index/test?name=张三&id=9 0.412191 [ info ] 信息异常 正则 [\s\S]*\]\s(?<client_ip>[0-9\.]+)\s(?<method>[A-Za-z]+)\s(?<url>[^\s.
grok debugger 正则解析 网络安全设备日志
最新发布
xsfqh的专栏
06-10 1001
网络日志报文解析
ELKlogstashgrok入门:自测实例+常用正则grok-patterns
MayMatrix 的博客
03-13 2296
一、背景 研究了grok几天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其中的Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog.csdn.net/q...
Logstash 常用正则grok-patterns
qianghong000的博客
08-31 247
正则表达式Grok位于正则表达式之上,所以任何正则表达式在grok中都是有效的。正则表达式库是Oniguruma,您可以在Oniguruma网站上看到完整支持的regexp语法。中文学习正则表达式网站:http://www.runoob.com/regexp/regexp-tutorial.htmlgit地址:https://...
grok logstash配置_Logstash6中grok插件的常用正则表达式
weixin_39766014的博客
12-19 236
grok默认表达式Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。常用表达式表达式标识名称详情匹配例子USERNAME 或 USER用户名由数字、大小写及特殊字符(._-)组成的字符串1234、Bob、Alex.WongEMAILLOCALPART用户名首位由大小写字母组成,其他位由数字、大...
Logstash grok-patterns ( 正则表达式 )
Great Expectations的博客
11-13 541
git  https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns    #  grok  git grok debug  http://grokdebug.herokuapp.com/                                              #  test grok   lo...
使用Logstash过滤插件Grok自定义正则表达式模式并引用
江晓龙的博客
07-13 1473
1)首先在kibana上调试增加一个正则模式模式名称就叫ID 表达式为,表示匹配0-9任意数字,且满足至少3位但不能超过6位,最多6位就是结尾,否则就匹配不上。2)在grok模式中应用自定义的正则模式在最后一列增加ID正则模式,然后进行模拟,可以过滤出我们需要的内容3)配置logstash使用自定义的正则模式 4)在kibana上展示日志数据增加上新的id字段......
关于Logstashgrok插件的正则表达式例子
热门推荐
liukuan73的专栏
08-25 2万+
http://www.cnblogs.com/stozen/p/5638369.html 一、前言 近期需要对Nginx产生的日志进行采集,问了下度娘,业内最著名的解决方案非ELK(Elasticsearch, Logstash, Kibana)莫属。 Logstash负责采集日志,Elasticsearch负责存储、索引日志,Kibana则负责通过Web形式展现日志。
ELK logstashgrok 自带的正则匹配、自定义正则 使用
夏已微凉、
09-27 5763
一、使用1、查看 grok 自带的正则2、语法3、使用1)、Sample Data2)、Grok Pattern3)、Custom Patterns4)、结果5)、正则讲解二、在线测试1、在线Grok Debug工具,Grok校验|调试2、Kibana中调试三、logstash配置文件1、配置文件输入2、自定义正则生效 一、使用 1、查看 grok 自带的正则 ELK logstashgrok 自带的正则匹配 2、语法 需要提取出字段名 %{官方定义的正则名或者自定义的正则名:从日志中提取出来的字.
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
vsftpd-grok-patterns:用于解析 vsftpd 日志记录的 Logstash 配置和 grok 模式
07-06
将vsftpd.grok添加到/etc/logstash/patterns.d 重启logstash 包含的 Logstash 配置文件需要消息字段中的 vsftpd 日志数据,当您使用 Logstash 的syslog输入接收 vsftpd 日志记录时,这是开箱即用的。 测试 在...
grok-patterns:LogstashGROK 模式集合
06-01
grok-patterns LogstashGROK 模式集合。 这些是我在学习如何使用 GROKLogstash 时创建的,所以请不要把它们当作福音。 希望它们对学习创建自己的规则的人有用。 我将在不久的将来更新这些。 如果您有任何...
logstash-filter-grok-4.0.4.zip
01-15
GrokLogstash 中的一个核心过滤器插件,专门用于解析和提取非结构化日志数据中的关键信息,使其转化为结构化数据,便于后续处理和分析。 在 Logstash 4.0.4 版本中,Grok 过滤器插件扮演着至关重要的角色。它...
logstash-patterns:用logstash解析和构造日志消息的Grok模式
05-26
Logstash模式 使用解析和构造不同服务的日志消息的模式。 使用调试您的图案! 注意,可能会有细微的差异! 向该存储库发出拉取请求时,请不要忘了包含您的提交尝试解析的消息的示例!! 添加图案 通常在自己的文件...
log4J日志收集(filebeat+logstash+Elasticsearch )
qq_34646817的博客
07-27 9557
一、说明 最近在学习logstash,发现内容特别多,除了基本的知识的学习以外,最多的就是插件的学习了,可是我看了下官网的插件,最新的版本6.3的插件展示如下: - 输入插件(Input plugins) beats,cloudwatch,couchdb_changes,dead_letter_queue,elasticse,rch,exec,file,ganglia,gelf,g...
Logstash之filter学习(官网)(GROK+GEO IP+FINGERPRINT+DATE)
qq_34646817的博客
07-27 4400
写在前面:logstash的插件有很多,即使filter的插件也有很多,因为生产马上要实践了,这边做一个归类总结 学习来源:官方文档 基本说明 官方的文档里面,主要讲了以下几个filter的作用。 首先,filter的定义是为了即时解析和转换您的数据 当数据从源传输到存储时,Logstash过滤器会解析每个事件,识别命名字段以构建结构,并将它们转换为汇聚在通用格式上,...
Elasticsearch 聚合分析详解
qq_34646817的博客
09-10 4103
说明 聚合分析:英文为Aggregation,是es除搜索功能外提供的针对es数据做统计分析的功能。 功能丰富:提供Bucket、Metric、Pipeline等多种分析方式,可以满足大部分的分析需求 实时性高:所有的计算结果都是即时返回的,而hadoop等大数据系统一般都是T+1级别的。 为了便于理解,es将聚合分析主要分为如下4类: Bucket:分桶类型,类似SQL中的GR...
logstash + grok 正则语法
05-25
Logstash 是一个开源的数据收集引擎,它可以帮助你从各种来源(如文件、数据库、网络流量等)收集数据,并将其转换为统一的格式,然后将其发送到目标位置(如 Elasticsearch、Redis、Kafka 等)。而 Grok 则是 Logstash 中一种常用正则表达式引擎,它可以帮助你快速解析各种结构化的日志数据。 下面是一些常见的 Grok 正则语法: - `%{PATTERN:fieldname}`:将匹配的文本赋值给指定的字段名称。 - `%{NUMBER:fieldname}`:将匹配的数字赋值给指定的字段名称。 - `%{WORD:fieldname}`:将匹配的单词赋值给指定的字段名称。 - `%{IP:fieldname}`:将匹配的 IP 地址赋值给指定的字段名称。 - `%{URI:fieldname}`:将匹配的 URI 赋值给指定的字段名称。 - `%{GREEDYDATA:fieldname}`:将匹配的任意文本赋值给指定的字段名称,直到遇到下一个模式为止。 这些语法可以用于创建 Grok 表达式,例如: ``` %{COMBINEDAPACHELOG} # 匹配 Apache 日志格式 %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} # 提取自定义字段 %{GREEDYDATA:message} # 捕获整个消息 ``` 除此之外,还有一些 Grok 模式库可以供参考,例如 Logstash 自带的模式库(如 `COMMONAPACHELOG`、`SYSLOG5424PRI` 等),以及社区维护的模式库(如 Grok PatternsGrok Debugger 等)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值