grok正则解析mysql slowlog

已于 2022-12-29 10:46:46 修改
阅读量692 收藏 1
点赞数 2
文章标签: mysql 数据库 elk
于 2022-12-28 21:37:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37256882/article/details/128474171
版权

mysql的slowlog通过filebeat处理,合并为一行以后,格式还是比较复杂的,通过百度可以网上查到一些grok表达式,但有的可用,有的不可用,也没有对此进行解析,比较难看懂。本文通过逐步解析mysql-slowlog,帮助理解这个较为复杂的表达式。

# User@Host: root[root] @  [118.125.0.86]  Id:    13\n# Query_time: 16.470589  Lock_time: 0.000090 Rows_sent: 300000  Rows_examined: 300000\nSET timestamp=1671957812;\nSELECT * FROM class_comment;

先看一段mysql-slowlog,首先以\n换行符,对这段日志逐步解析。

# User@Host: root[root] @  [118.125.0.86]  Id:    13\n

首先解析第一行,对应的表达式为

^#\s+User@Host:\s+%{USER:query_user}\[[^\[\]]+\]\s+@\s+\[%{IP:query_ip}\]\s*Id:\s+%{NUMBER:id:int}\s*

%{USER:query_user}这是官方预定义的 grok 表达式,用于匹配用户名

查询官方github,可以看到对于USER的定义

 \[[^\[\]]+\]

这一段是用于匹配一对中括号括起来的非[]符号的任何字符

后面的IP,NUMBER均为预定义表达式,比较好理解

在debugger中验证

接着看第二行

# Query_time: 16.470589  Lock_time: 0.000090 Rows_sent: 300000  Rows_examined: 300000\n

这一行比较简单,基本用预定义表达式就可以处理

#\s+Query_time:\s+%{NUMBER:query_time:float}\s+Lock_time:\s+%{NUMBER:lock_time:float}\s+Rows_sent:\s+%{NUMBER:rows_sent:int}\s+Rows_examined:\s+%{NUMBER:rows_examined:int}\s*

第三行到最后

SET timestamp=1671957812;\nSELECT * FROM class_comment;

表达式为

SET\s+timestamp=%{NUMBER:timestamp};\s*%{GREEDYDATA:query}

处理也比较简单,因为最后肯定是sql语句,所以使用了GREEDYDATA这个表达式,匹配所有字符

经过以上处理,逐步解决了slowlog各个部分的表达式

那么,我们把这些表示式合并起来,能否正常表示呢?

我们来试试

我们把第一行和第二行的表达式合并起来发现是报错的,为什么呢?

因为标准的grok正则表达式是不能匹配换行符的,如果有换行符,必须要单独做处理

查询github,可以发现对于这种情况要在表达式开始位置加 ​​(?m)​​ 标记,然后dot(即点)可以支持匹配回车换行符

 https://github.com/kkos/oniguruma/blob/master/doc/RE
   + ONIG_SYNTAX_ONIGURUMA
     (?m): dot (.) also matches newline

然后我们可以进行如下处理

完整日志:
# User@Host: root[root] @  [118.125.0.86]  Id:    13\n# Query_time: 16.470589  Lock_time: 0.000090 Rows_sent: 300000  Rows_examined: 300000\nSET timestamp=1671957812;\nSELECT * FROM class_comment;

完整的表达式

(?m)^#\s+User@Host:\s+%{USER:query_user}\[[^\[\]]+\]\s+@\s+\[%{IP:query_ip}\]\s*Id:\s+%{NUMBER:id:int}.*#\s+Query_time:\s+%{NUMBER:query_time:float}\s+Lock_time:\s+%{NUMBER:lock_time:float}\s+Rows_sent:\s+%{NUMBER:rows_sent:int}\s+Rows_examined:\s+%{NUMBER:rows_examined:int}.*SET\s+timestamp=%{NUMBER:timestamp};\s*%{GREEDYDATA:query}

可以看到已经能正常解析。

将这个表达式配置到logstash配置文件中

 

重启程序后,可以发现logstash是可以正常解析给到elasticsearch建立索引的 。

所以,对于遇到的问题,不用总是百度,网上的方案不一定可以正常工作,这时我们把一个较为复杂一点的问题,逐步分析,逐步解决,将一个大问题拆分为几个小问题,这样更有利于问题的处理。

beretxj_
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash grok解析
幸福在路上
01-24 1万+
在《本地搭建ELK系统》中,在本地搭建了一个非常简单的ELK系统。其中logstash从本地日志文件中读取信息并交给elasticsearch。然而直接把原始未加工的日志交给elasticsearch没有什么意义。logstash还有一个重要的工作就是解析日志。把解析出来的关键字与日志本身共同交给elasticsearch,elasticsearch才能很好地建立日志索引。logstash支持多种解
匹配MySQL慢日志的正则_mysql慢查询日志
weixin_42132359的博客
01-19 207
添加慢查询日志:第一种、修改my.cnf添加(荐):log-slow-queries=/var/log/slowquery.loglong_query_time=1重启mysql第二种、命令下添加:set global long_query_time=1;注:long_query_time的值:5.2.1之前版本最小为1s,如果想支持ms需要打补丁;MySQL5.21+的版本最小值为0,可以设置0...
java使用grok解析日志文件
我的博客
07-07 5562
在项目中会产生大量的日志以方便问题跟踪,有时需要统计分析系统运行期间的日志,例如:分析系统使用情况,使用人数,系统错误信息等等。根据不同的日志类别,生成可视化图表展示,所以就需要需要对日志进行处理,将每一行拆分成多个字段,存入数据库或者es,便于统计分析,生成报表。 由于之前没有接触过,网上通过搜集资料,找到使用logstash来分割反向代理的日志,由单个简单的正则组合,就能对一大段文字进行切割,惊叹与简单可配置。后来找到了java也可以通过Grok进行日志的统计分析,Grok进行日志处理的好处有:1:默
ELKgrok正则匹配
没枕头我咋睡觉
01-27 1637
1、Grok简介: grok是logstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
logstash之grok解析
我的祖传代码
01-17 2810
原始日志文件 [2019-01-14 00:02:11] [INFO] - com.test.pushTest(PushMessageExecutor.java:103) - 消息推送结果:响应状态(200)、状态描述(成功。)、响应反馈()、请求响应耗时(232ms),deviceToken:7b64436eeea34a3ab4e0873b0682ad98e,userId:1659034,a...
Grok:深入解析日志与数据的强大工具
最新发布
Songxianshengbei的博客
03-19 551
随着日志数据的不断增长和复杂性的提升,Logstash团队意识到需要一个更加强大和灵活的解析引擎来处理这些日志,于是Grok应运而生。通过定义一系列的模式(patterns),Grok能够匹配解析各种格式的日志数据,提取出有用的信息并以结构化的方式呈现出来。而Grok,作为一款强大的日志解析和数据提取工具,为我们提供了一种高效、灵活的方式来处理这些海量的信息。更加强大的解析能力:随着日志数据的不断增长和复杂性的提升,Grok需要不断增强其解析能力以应对各种复杂的日志格式和数据类型。
logstash grok mysql_elk系列7之通过grok分析apache日志
weixin_42398386的博客
01-27 151
preface说道分析日志,我们知道的采集方式有2种:通过grok在logstash的filter里面过滤匹配。logstash --> redis --> python(py脚本过滤匹配) --> ES第一种方式是不怎么推荐使用的,除非是在日志量比较小的场景才推荐使用。因为grok非常影响性能的,且不够灵活,除非你很懂ruby。第二种方式是 我们一直推荐使用的架构,讲究松耦合关...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github.com/jrxfive/groktoregex 用法 一旦构建 groktoregex 只需要...
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
java-grok:简单的API,可让您轻松解析日志和其他文件
05-01
Java Grok是简单的API,可让您轻松解析日志和其他文件(单行)。 使用Java Grok,您可以将非结构化日志和事件数据转换为结构化数据(JSON)。 我可以将Grok用作什么? 从日志和流程中报告错误和其他模式 解析复杂...
Java正则表达式
06-01
超级详细的Java正则表达式,包括普通规则,Group规则,以及Grok
java-grok通过正则表达式解析日志
程序员Monkey的专栏
08-07 8251
项目中有一个新的需求,就是需要解析日志,将日志中的部分数据分析获取出来供系统使用,通俗的讲就是抓取日志中的部分有用的信息,比如下面的apache日志信息,我需要解析每行日志,获取每行日志的IP地址、用户、创建时间、请求方式、地址....如果我们单纯使用java的方式,可能会想到通过文件流读取日志信息,然后逐行解析字符串,但是这种方式太过于复杂,而且效率比较低,在网上查询了相关的资料,决定使用log
(?m) 标记
weixin_30820151的博客
08-31 327
<pre name="code" class="html">在和 codec/multiline 搭配使用的时候,需要注意一个问题,grok 正则和普通正则一样,默认是不支持匹配回车换行的。就像你需要 =~ //m 一样也需要单独指定,具体写法是在表达式开始位置加 (?m) 标记。如下所示: match => { "message" => "(?m)\s+...
Logstash:日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3180
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
Logstash配置插件grok详解
热门推荐
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置插件grok详解 grok是Logstash最重要的插件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1592
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
python项目实例删除-Python对象删除自身
weixin_37988176的博客
10-29 856
Why won't this work? I'm trying to make an instance of a class delete itself.>>> class A():def kill(self):del self>>> a = A()>>> a.kill()>>> a解决方案'self' is only a reference to the object. 'del self' ...
logstash filter grok正则
04-29
Logstash filter grok正则是一种用于从未结构化的日志数据中提取有用信息的工具。它基于正则表达式,可以在日志数据中识别出特定的模式,并将其转换为结构化的数据。以下是一些常用的 grok 正则表达式示例: - 提取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值