【ELK】logstash通过配置文件对日志时间格式更改

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量983 收藏 1
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/109591305
版权 
input {
    	file {
	    #ModSecurity审计日志的存放位置,请根据实际情况进行修改
		path => ["/var/log/modsec_audit.log"]
		start_position => "beginning"
	}
}

filter{
	json{
		source => "message"
		remove_field => ["message"]
	}
    #以下到filter节点结束的内容,是为了将ModSecurity记录的日期转换为数据库可存放的datetime格式
	mutate{
		split => ["[transaction][time_stamp]"," "]
		add_field => { "date" => "yyyy-MM-dd HH:mm:ss" }
		add_field => { "month" => "%{[transaction][time_stamp][1]}" }
		add_field => { "day" => "%{[transaction][time_stamp][2]}" }
		add_field => { "time" => "%{[transaction][time_stamp][3]}" }
		add_field => { "year" => "%{[transaction][time_stamp][4]}" }
	}

	if [month] == "Jan" {
		mutate {
			gsub =>["month","Jan",'01']
		}
	} else if [month] == "Feb" {
		mutate {
			gsub =>["month","Feb",'02']
		}
	} else if [month] == "Mar"{
		mutate {
			gsub =>["month","Mar",'03']
		}
	} else if [month] == "Apr"{
		mutate {
			gsub =>["month","Apr",'04']
		}
	} else if [month] == "May"{
		mutate {
			gsub =>["month","May",'05']
		}
	} else if [month] == "Jun"{
		mutate {
			gsub =>["month","Jun",'06']
		}
	} else if [month] == "Jul"{
		mutate {
			gsub =>["month","Jul",'07']
		}
	} else if [month] == "Aug"{
		mutate {
			gsub =>["month","Aug",'08']
		}
	} else if [month] == "Sep"{
		mutate {
			gsub =>["month","Sep",'09']
		}
	} else if [month] == "Oct"{
		mutate {
			gsub =>["month","Oct",'10']
		}
	} else if [month] == "Nov"{
		mutate {
			gsub =>["month","Nov",'11']
		}
	} else if [month] == "Dec"{
		mutate {
			gsub =>["month","Dec",'12']
		}
	}

	mutate {
		gsub =>["date","yyyy",'%{[year]}']
		gsub =>["date","MM",'%{[month]}']
		gsub =>["date","dd",'%{[day]}']
		gsub =>["date","HH:mm:ss",'%{[time]}']
	}
}


output {
    #该节点会将最终日志数据以JSON格式打印到控制台中,便于观测进行调试,测试无问题后可将此节点删除
	stdout {
		codec => json {
			charset => "UTF-8"
		}
	}

     elasticsearch {
         host => "10.27.106.193:9200"
         index => "modsec_audit"
         user => "elastic"
         password => "elastic"
         workers=>5
         template_overwrite =>true
     }
}

 

没枕头我咋睡觉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash的filter日期插件
12-15
logstash的filter日期插件,解压,在logstash的Gemfile中添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path => "/home/ec2-user/logstash-output-webhdfs" 执行 bin/logstash-plugin install --no-verify
Spring Boot 使用 logback、logstashELK 记录日志文件的方法
08-28
5. 自动重新加载配置文件:当配置文件修改了,Logback-classic 能自动重新加载配置文件。 6. Lilith,Lilith 是 log 事件的观察者,和 log4j 的 chainsaw 类似。 7. 谨慎的模式和非常友好的恢复:在谨慎模式下,多个...
linux 日志 时间格式,ELK日志时间格式
weixin_32155269的博客
05-02 545
最近在使用elk收集日志的时候,发现日志顺序是错乱的,网上查了下,确实存在这种问题,日志的顺序错乱,会直接导致开发在通过elk查找日志上下文的时候,找不到对应正确的上下文片段,导致开发不能正确的定位问题,我在网上也查看了一些资料,说实话,这方便的资料很少。经过网上资料,再结合自己的测试,最后终于找到了解决方案。就是对es的@timestamp字段重新赋值,把日志的时间字段作为新的数值赋值给@tim...
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1397
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
elk-logstash 读取日志(2): messages和log日志生成时间替换时间戳
qq_33834493的博客
05-20 1200
目前日志: 2021-05-20 14:26:34.817 [http-nio-9031-exec-9] INFO com.abutment.producer.RocketMqHelper.sendMessage - >>>>生产者发送topic为: dispatch_topic msgId: AC1188CD08496B884D5764F234ACDB4E tag: GID_91610000786990367Y 2021-05-20 14:26:34.817 [http-n...
Logstash 时间转换(YYYY-MM-dd HH:mm:ss转Unix时间)
勿忘初心
03-31 8339
适用场景 - 日志时间转Unix时间 示例日志:2017-03-21 00:00:00,291 INFO [DubboServerHandler-10.135.6.53:20885-thread-98] i.w.w.r.m.RequirementManager [RequirementManager.java:860] fetch no data from oracle 2017-03-21
logstash时间转换
cts618
01-13 695
kibana使用日志时间进行排序 - 旺仔小码头 - 博客园
logstash配置文件.rar
12-18
在给定的“logstash配置文件.rar”压缩包中,我们可以期待找到针对Logstash配置文件,这些文件用于设置不同的数据处理管道,将数据输入到Elasticsearch并进行聚合分析。 首先,我们要理解Logstash的工作原理。...
StirngBoot+ELK+Kafka记录日志,超详细搭建过程!
01-20
2. **日志匹配**:通过Logstash的过滤器功能,可以根据日志级别(如DEBUG、INFO、WARN、ERROR)、日志内容和时间戳等条件对日志进行筛选和匹配,提高了日志查询的效率。 3. **日志流与快速查询**:日志流允许用户...
通过elk收集微服务模块日志.doc
09-27
例如,安装Kafka和Zookeeper,需要解压缩二进制包,修改配置文件(如Zookeeper的`zoo.cfg`和Kafka的`server.properties`),并启动服务。创建Kafka主题并验证其状态是确保日志数据能正确流转的关键步骤。 通过ELK...
ELKB Logstash+Filebeats配置文件
01-14
Logstash配置文件包括grok,字段分隔,字段移除,日志中日期替换@timestamp,动态索引根据日志日期生成等等...... Filebeat日志多行合并,日志分类索引等等...... 注意修改配置文件中关于Logstash及Elasticsearch的...
logstash 处理各种时间格式
weixin_30767835的博客
10-22 1149
tomcat access日志: { "@version" => "1", "@timestamp" => "2016-10-22T12:58:07.000Z", "path" => "/data01/applog_backup/zjzc_log/zj-api-access01.2016-10-2...
Logstash匹配日志日期
weixin_33895475的博客
03-09 955
案例日志格式: | - | 08/Mar/2018:03:31:14 +0800匹配配置文件:input { stdin { }} filter {grok {match => [ "message", "%{USER} | %{USER} | %{HTTPDATE:timestamp}"]}date {match => [ "timestamp", "dd/MMM/YYYY:...
logstash(9)过滤器-date
祈雨v的博客
01-18 1148
描述 按指定的时间格式读取事件的指定字段值后,赋值给指定的字段(默认为@timestamp)。 filter { date { match => ["time", "yyyy-MM-dd HH:mm:ss"] } } 参数 参数 类型 是否必须 默认值 match array 否 [] target string 否 @timestamp...
ELKLogstash6.7版本配置记录及格式化时间
小白的专栏
10-09 793
一、背景 项目统一升级ELK,原来的版本已经不适配新的集群,需要升级elk版本,升级的过程中很多配置改变,记录下相关操作。 这里只记录logstash的相关配置。 二、相关配置 我们都知道logstash配置文件的主要格式如下 input { } filter { } output { } 原来项目使用的是2.3.4版本的logstash,升级到新版本后相关的配置发生了改变。 2.3.4版本input input { kafka{ group_i
ELK日志系统)——logstash数据采集+Syslog输入插件+grok/多行过滤插件
qq_46089299的博客
06-13 2061
一、logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 能够以连续的流式传输方式,轻松地从您的日志、指标、Web 应用、数据存储以及各种 AWS
Logstash——使用Logstash过滤器(filter)从事件中提取数据
热门推荐
大风的博客
05-17 1万+
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器根据规则提取数据 Logstash涉及提取数据主要是下面几个 date过滤器:获得时间格式的数据 extractnumbers过滤器:从字符串中提取数字 grok过滤器:使用grok格式提取数据中的指定内容 这里我简单的介绍下几个过滤器.
通过logstash收集日志(三)
weixin_30237281的博客
11-21 2479
一、logstash收集日志并写入redis 用一台服务器按照部署redis服务,专门用于日志缓存使用,用于web服务器产生大量日志的场景,例如下面的服务器内存即将被使用完毕,查看是因为redis服务保存了大量的数据没有被读取而占用了大量的内存空间。 整体架构: 1.部署redis [root@linux-host2 ~]# cd /usr/local/src/ [root@...
配置logstash抓取日志并分析
shishui07的博客
05-24 2950
logstash使用drop过滤不需要的日志
ELK日志分析系统集群配置教程
2. 编写Logstash配置文件,指定日志源的位置,如Apache的`access.log`和`error.log`,并定义输出目标为Elasticsearch的节点,如`node1`和`node2`。 最后是Kibana的配置: 1. 在`node1`上安装Kibana,这同样是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值