logstash配置文件中filter方法介绍

于 2024-07-17 13:20:15 发布
阅读量820 收藏 17
点赞数 9
分类专栏: elasticsearch 文章标签: ELK logstash input filter output
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37647812/article/details/140492285
版权

1、Grok 正则捕获

grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式。

Grok 的语法规则是:%{语法: 语义}

例如输入的内容为:

172.16.213.132 [07/Feb/2019:16:24:19 +0800] "GET / HTTP/1.1" 403 5039

下面是一个组合匹配模式,它可以获取上面输入的所有内容:

%{IP:clientip}\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}

  • %{IP:clientip}匹配模式将获得的结果为:clientip: 172.16.213.132
  • %{HTTPDATE:timestamp}匹配模式将获得的结果为:timestamp: 07/Feb/2018:16:24:19 +0800
  • %{QS:referrer}匹配模式将获得的结果为:referrer: "GET / HTTP/1.1"
  • %{NUMBER:response}匹配模式将获得的结果为:NUMBER: "403"
  • %{NUMBER:bytes}匹配模式将获得的结果为:NUMBER: "5039"

通过上面这个组合匹配模式,我们将输入的内容分成了五个部分,即五个字段,将输入内容分割为不同的数据字段,这对于日后解析和查询日志数据非常有用,这正是使用grok的目的。

举个例子:可在config/test1.conf里面添加如下内容,用法同上

input{ stdin{} }

filter{

grok{

match => ["message","%{IP:clientip}\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}"]

}

}

output{ stdout{ codec => "rubydebug" } }

输入内容:

172.16.213.132 [07/Feb/2019:16:24:19 +0800] "GET / HTTP/1.1" 403 5039

结果如下

可以看到将一个长的字符串拆分为好几个字段,这样做的一个好处在于可以分割字符串,这样的话可直接输出至ElasticSearch。

 2、时间处理(Date)

date插件是对于排序事件和回填旧数据尤其重要,它可以用来转换日志记录中的时间字段,变成LogStash::Timestamp对象,然后转存到@timestamp字段里,这在之前已经做过简单的介绍。 下面是date插件的一个配置示例:

可在config/test1.conf里面添加如下内容,用法同上

input{ stdin{} }

filter {

grok {

match => ["message", "%{HTTPDATE:timestamp}"] }

date { match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"] }

}

output{ stdout  { codec => "rubydebug" } }

输入内容:

172.16.213.132 [07/Feb/2019:16:24:19 +0800] "GET / HTTP/1.1" 403 5039

结果如下:

可以看到将时间戳格式转换为比较容易理解的格式

3、数据修改(Mutate)

下面几个用法就不单独演示了,后面会有一个综合示例演示所有的用法。

(1)正则表达式替换匹配字段

gsub可以通过正则表达式替换字段中匹配到的值,只对字符串字段有效,下面是一个关于mutate插件中gsub的示例(仅列出filter部分):

filter {  

mutate {      

gsub => ["filed_name_1", "/" , "_"]  

}

}

这个示例表示将filed_name_1字段中所有"/"字符替换为"_"。

(2)分隔符分割字符串为数组

split可以通过指定的分隔符分割字段中的字符串为数组,下面是一个关于mutate插件中split的示例(仅列出filter部分):

filter {  

mutate {      

split => ["filed_name_2", "|"]  

}

}

这个示例表示将filed_name_2字段以"|"为区间分隔为数组。

(3)重命名字段

rename可以实现重命名某个字段的功能,下面是一个关于mutate插件中rename的示例(仅列出filter部分):

filter {  

mutate {       rename => { "old_field" => "new_field" }   }

}

这个示例表示将字段old_field重命名为new_field。

(4)删除字段

remove_field可以实现删除某个字段的功能,下面是一个关于mutate插件中remove_field的示例(仅列出filter部分):

filter {  

mutate {       remove_field => ["timestamp"]   }

}

这个示例表示将字段timestamp删除。

(5)GeoIP 地址查询归类

将ip转为地理信息

filter {  

geoip {       source => "ip_field"   }

}

综合示例

下面给出一个综合示例,将上面介绍到的用法集成到一个filter中使用。

首先转换成多个字段 --> 去除message字段 --> 日期格式转换 --> 字段转换类型 --> 字段重命名 --> replace替换字段 --> split按分割符拆分数据成为数组

可在config/test1.conf里面添加如下内容,用法同上

input { stdin {} }

filter {

grok {

match => { "message" => "%{IP:clientip}\ \[%{HTTPDATE:timestamp}\]\ %{QS:referrer}\ %{NUMBER:response}\ %{NUMBER:bytes}" } remove_field => [ "message" ]

}

date {

match => ["timestamp", "dd/MMM/yyyy:HH:mm:ss Z"]

}

mutate {

convert => [ "response","float" ]

rename => { "response" => "response_new" }

gsub => ["referrer","\"",""]

split => ["clientip", "."] }

}

output { stdout { codec => "rubydebug" }

magic33416563
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Logstash filter 的使用
m0_56342013的博客
06-18 1133
Logstash filter 的使用
Logstash常用的filter四大插件
最新发布
zx52306的博客
07-09 1040
自定义正则匹配格式:(?自定义的正则表达式)可以自定义为。
logstash 使用详解
程序员学习圈
02-28 1256
1.安装logstash [luomk@iz2zeb7o9hu1q5dxvshng4z module]$ tar -zxvf logstash-6.3.1.tar.gz [luomk@iz2zeb7o9hu1q5dxvshng4z module]$cd config [luomk@iz2zeb7o9hu1q5dxvshng4z module]$vi log4j_t...
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1332
Logstash三个组件的第二个组件,也是真个Logstash工具最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1600
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
Logstashfilter常用的语法
习惯了想你的博客
05-11 1万+
1.根据条件删除当前消息 if "caoke" not in [docker]{ drop {} } if "caoke" != [className]{ drop {} } 删除字段 remove_field => ["message"] 添加字段mutate{ add_field => { "timestamp" => "%{[message]}"   } } 转换字段类型mutate{
logstash-filter
Beal的博客
08-28 361
input plugin 插入插件 让logstash可以读取特定的事件源。 stdin 标准输入 file   读取文件   file{ path => ['/var/log/nginx/access.log'] #要输入的文件路径 type => 'nginx_access_log' start_position => "beginnin...
logstash配置文件.rar
12-18
在给定的“logstash配置文件.rar”压缩包,我们可以期待找到针对Logstash配置文件,这些文件用于设置不同的数据处理管道,将数据输入到Elasticsearch并进行聚合分析。 首先,我们要理解Logstash的工作原理。...
logstash配置文件
07-27
一个简单的Logstash配置文件可能如下所示,它从一个日志文件读取数据,解析日志,然后将结果发送到Elasticsearch: ```ruby input { file { path => ["/var/log/myapp/*.log"] start_position => "beginning" ...
logstash-filter-geoip-cn.zip
03-27
2. **配置Logstash**:在Logstash配置文件添加GeoIP过滤器,指定数据库路径(可能需要下载MaxMind的GeoIP数据库文件),并启用文转换功能。 3. **运行Logstash**:启动Logstash服务,它会开始处理输入数据,...
logstash-filter-grok-3.4.3
12-15
logstashfilter插件,通过正则表达式拆解日志。安装方式:bin/logstash-plugin install --no-verify logstash-filter-grok-3.4.4.gem
基于logstash实现日志文件同步elasticsearch
09-16
下面是一段Logstash配置文件,用于设置输入源、过滤器(此处未启用)以及输出目标等关键参数: ```bash [root@5b9dbaaa148alogstash_jdbc_test]# cat log_test.conf input{ file{ path=> ["/usr/local/logstash/...
logstash-filter-grok-4.0.4.zip
01-15
Logstash配置文件,Grok 过滤器通常如下所示: ``` filter { grok { match => { "message" => "%{PATTERN1} %{PATTERN2}" } } } ``` 其,`message` 字段是待处理的日志条目,`PATTERN1` 和 `...
使用Logstash filter grok过滤日志文件
weixin_34226706的博客
02-27 165
Logstash提供了一系列filter过滤plugin来处理收集到的log event,根据log event的特征去切分所需要的字段,方便kibana做visualize和dashboard的data analysis。所有logstash支持的event切分插件查看这里。下面我们主要讲grok切分。 Grok基本介绍 Grok 使用文本片段切分的方式来切分日志事件,语法如下: %...
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash-filter模块
小胡子
05-14 195
Fillters 在Logstash处理链担任间处理组件。他们经常被组合起来实现一些特定的行为来,处理匹配特定规则的事件流。常见的filters如下: grok:解析无规则的文字并转化为有结构的格式。Grok 是目前最好的方式来将无结构的数据转换为有结构可查询的数据。有120多种匹配规则,会有一种满足你的需要。 mutate:mutate filter 允许改变输入的文档,你可以从命名,删除,移动或者修改字段在处理事件的过程。 drop:丢弃一部分events不进行处理,例如:debug event
logstashfilter配置
老柴菜鸟
04-20 7145
前一篇我们已经学会了logstash-input-file插件的用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
Logstash过滤filter插件
xc0309的博客
07-17 481
grok、date、mutate、multiline
logstash 配置文件
09-13
你好!关于 Logstash配置文件,可以使用以下格式进行编写: ``` input { # 输入插件及其配置 } filter { # 过滤插件及其配置 } output { # 输出插件及其配置 } ``` 在 `input` 部分,你可以指定数据的来源,例如文件、网络等。常见的输入插件有 `file`、`tcp`、`udp` 等。 在 `filter` 部分,你可以对输入的数据进行处理和转换,例如解析、过滤、添加字段等。常见的过滤插件有 `grok`、`date`、`mutate` 等。 在 `output` 部分,你可以将处理后的数据发送到目标位置,例如 Elasticsearch、MongoDB、Kafka 等。常见的输出插件有 `elasticsearch`、`mongodb`、`kafka` 等。 具体的配置会根据你的需求和数据来源而有所不同。你可以根据 Logstash 官方文档和插件文档来了解各个插件的具体配置选项,并按照你的需求进行调整和定制化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

magic33416563

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值