logstash remove field message

最新推荐文章于 2023-12-14 10:10:09 发布
最新推荐文章于 2023-12-14 10:10:09 发布
阅读量858 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43682661/article/details/87816672
版权
                
{             "message" => "10.10.17.1 [11/Jan/2017:13:21:23 +0800] \"GET /resources/js/toolbar.js?_=1484112094581 HTTP/1.1\" - 200 2775 \"http://10.10.17.2/\" \"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0\" 0.000 -",            "@version" => "1",          "@timestamp" => "2017-01-11T05:21:23.000Z",                "path" => "/var/log/nginx/access.log",                "host" => "db01",                "type" => "nginx_access",            "clientip" => "10.10.17.1",                "time" => "11/Jan/2017:13:21:23 +0800",                "verb" => "GET",             "request" => "/resources/js/toolbar.js",         "httpversion" => "1.1",    "http_status_code" => "200",               "bytes" => "2775",        "http_referer" => "http://10.10.17.2/",     "http_user_agent" => "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0",       "response_time" => 0.0,            "messager" => "nginx_access-10.10.17.1 [11/Jan/2017:13:21:23 +0800] \"GET /resources/js/toolbar.js?_=1484112094581 HTTP/1.1\" - 200 2775 \"http://10.10.17.2/\" \"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0\" 0.000 -"}{            "@version" => "1",          "@timestamp" => "2017-01-11T06:06:09.000Z",                "path" => "/var/log/nginx/access.log",                "host" => "db01",                "type" => "nginx_access",            "clientip" => "10.10.17.1",                "time" => "11/Jan/2017:14:06:09 +0800",                "verb" => "GET",             "request" => "/resources/images/home/QR_code.jpg",         "httpversion" => "1.1",    "http_status_code" => "200",               "bytes" => "52810",        "http_referer" => "http://10.10.17.2/",     "http_user_agent" => "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0",       "response_time" => 0.0,            "messager" => "nginx_access-10.10.17.1 [11/Jan/2017:14:06:09 +0800] \"GET /resources/images/home/QR_code.jpg HTTP/1.1\" - 200 52810 \"http://10.10.17.2/\" \"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0\" 0.000 -"}    }                   mutate {                        convert => [ "request_time", "float"]                        add_field =>["response_time","%{request_time}"]                        convert => [ "response_time", "float"]                        add_field => [ "[@metadata][zabbix_key]" , "logstash-api-access" ]                        add_field => [ "[@metadata][zabbix_host]" , "dr-mysql01" ]                        add_field =>["messager","%{type}-%{message}"]                        remove_field =>["request_time"]                        remove_field =>["message"][elk@db01 nginx]$ cat logstash_nginx.conf input {           file {                 type => "wj_frontend_access"                 path => ["/data01/applog_backup/winfae_log/wj-frontend0*access*"]         }          file {                type => "nginx_access"                path => ["/var/log/nginx/access.log"]        } }filter {    grok {        match =>[              "message","%{IPORHOST:clientip} \[%{HTTPDATE:time}\] \"%{WORD:verb} %{URIPATHPARAM:request}\?.* HTTP/%{NUMBER:httpversion}\" \- %{NUMBER:http_status_code} %{NUMBER:bytes} \"(?<http_referer>\S+)\" \"(?<http_user_agent>(\S+\s+)*\S+)\" (%{BASE16FLOAT:request_time}) (%{IPORHOST:http_x_forwarded_for}|-)",              "message" , "%{IPORHOST:clientip} \[%{HTTPDATE:time}\] \"%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" \- %{NUMBER:http_status_code} %{NUMBER:bytes} \"(?<http_referer>\S+)\" \"(?<http_user_agent>(\S+\s+)*\S+)\" (%{BASE16FLOAT:request_time}) (%{IPORHOST:http_x_forwarded_for}|-)",             "message","%{IPORHOST:clientip} \[%{HTTPDATE:time}\] \"%{WORD:verb} (?<http_url>\S+)\s+HTTP/%{NUMBER:httpversion}\"\s+\-\s+%{NUMBER:http_status_code}\s+%{NUMBER:bytes}\s+\"\-\"\s+\"(?<http_user_agent>(\S+))\"\s+(%{BASE16FLOAT:request_time})\s+(%{IPORHOST:http_x_forwarded_for}|-)",             "message","%{IPORHOST:clientip} \[%{HTTPDATE:time}\] \"%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" \- %{NUMBER:http_status_code} %{NUMBER:bytes} \"\" \"(?<http_user_agent>(\S+\s+)*\S+)\" (%{BASE16FLOAT:request_time}) (%{IPORHOST:http_x_forwarded_for}|-)"                     ]    }                   mutate {                        convert => [ "request_time", "float"]                        add_field =>["response_time","%{request_time}"]                        convert => [ "response_time", "float"]                        add_field => [ "[@metadata][zabbix_key]" , "logstash-api-access" ]                        add_field => [ "[@metadata][zabbix_host]" , "dr-mysql01" ]                        add_field =>["messager","%{type}-%{message}"]                        remove_field =>["request_time"]                        remove_field =>["message"]                       # remove_field =>["messager"]                }              date {        match => ["time", "dd/MMM/yyyy:HH:mm:ss Z"]    }     }output {        stdout {                        codec => rubydebug                } #        if [response_time] >= 5  {#          zabbix {#                zabbix_host => "[@metadata][zabbix_host]"#                zabbix_key => "[@metadata][zabbix_key]"#        zabbix_server_host => "192.168.32.55"#        zabbix_server_port => "10051"#                zabbix_value => "messager"#        }#          }     if [type] == "nginx_access" {         redis {                host => "127.0.0.1"                data_type => "list"                key => "nginx_access:redis"                port=>"6379"                password => "1234567"        }}      else if [type] == "wj_frontend_access"{       redis {                 host => "127.0.0.1"                 data_type => "list"                 key => "wj_frontend_access:redis"                 port=>"6379"                 password => "1234567"         } }}如果你把 "message" 里所有的信息都 grok 到不同的字段了,数据实质上就相当于是重复存储了两份。所以你可以用 remove_field 参数来删除掉 message 字段,或者用 overwrite 参数来重写默认的 message 字段,只保留最重要的部分。重写参数的示例如下:filter {    grok {        patterns_dir => "/path/to/your/own/patterns"        match => {            "message" => "%{SYSLOGBASE} %{DATA:message}"        }        overwrite => ["message"]    }}

           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

外太空有云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash reg remove_field
qq_33291307的博客
04-29 915
需求,需要删除logstash 以del 字段开头的字段 filter { prune { blacklist_values => [ "uripath", "/index.php", "method", "(HEAD|OPTIONS)", ...
logstash 删除字段
热门推荐
有道无术,术尚可求,有术无道,止于术。
10-27 1万+
问题 filebeat采集日志信息后,logstash打印信息,这个过程中,filebeat将自身的客户端信息也传送给了logstash,如果logstash不对这些字段进行过滤,导致es创建索引时,产生大量没有必要的字段。 解决方案: 在配置文件中进行过滤,删除没有必要的字段。 input { beats { port => 5044 } } fi...
logstash 常见解决方法
weixin_33681778的博客
11-17 542
1. logstash 无法连接 kafka logstash 版本: logstash-1.5.4-1.noarch.rpm logstash.log 错误信息: {:timestamp=>"2015-11-16T18:41:00.365000+0800", :message=>"The error reported is: \n ...
三、Logstash
Six_three的博客
03-29 2614
三、Logstash 1. 安装 参考官方网站 Logstash # curl -OL https://artifacts.elastic.co/downloads/logstash/logstash-7.13.2-linux-x86_64.tar.gz # tar -xf logstash-7.13.2-linux-x86_64.tar.gz -C /usr/local/ # mv /usr/local/logstash-7.13.2/ /usr/local/logstash 2. 测试运行 运行最
logstash安装部署手册
05-12
match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{WORD:level} %{GREEDYDATA:message}" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "app-%{+YYYY.MM.dd}" } } ``` ...
logstash的配置文件
07-27
match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:level} %{GREEDYDATA:message}" } } date { match => [ "timestamp", "ISO8601" ] } } output { elasticsearch { hosts => [...
logstash-ODBC.rar
08-31
Logstash 是一个强大的数据收集、处理和转发工具,它在ELK(Elasticsearch, Logstash, Kibana)堆栈中扮演着重要的角色。在给定的压缩包"**logstash-ODBC.rar**"和提及的"**logstash-output-jdbc.zip**"中,我们可以...
logstash.conf
12-18
logstash.conf
logstash-conf
10-10
match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{WORD:level}: %{GREEDYDATA:message}" } } date { match => [ "timestamp", "ISO8601" ] } } ``` 3. 输出(Outputs):处理完的数据需要被发送...
logstash 丢掉特定记录
weixin_42644062的博客
11-19 478
https://stackoverflow.com/questions/27519974/selective-parsing-of-csv-file-using-logstash "Comm_Plan","Queue_Booking","Order_Reference","Generation_Date" "","No","FMN1191MVHV","31/03/2014" "","No","...
Logstash filter 的使用
weixin_34342578的博客
09-25 338
原文地址:http://techlog.cn/article/list/10182917 概述 logstash之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本解析工具--Grok grok是一个十分强大的logstashf...
Logstash~filter通用配置项使用教程(附带实例)
feizuiku0116的博客
04-26 3128
一、add_field 功能:添加字段 介绍:在filter过滤成功之后,可以添加字段,可以添加多个字段,必须写在filter组件内部,可以动态添加字段 filter{ grok{ match => { "message" => "%{NUMBER:number} %{WORD:name}" } add_field => { "f1" => "field1" "f2" =
如何在logstash的配置文件里边删除csv中columns中多余的field字段
sxf_123456的博客
07-21 6392
当采集数据时生成的csv的文件,但是发现采集表数据有些在es中不需要,这时,可以在filter插件中的csv中,使用remove_field =&gt; [ "filed1","filed2" ]来删除多余字段input {    file {        path =&gt; [                        "/test/111.csv"                ]  ...
Logstash——使用Logstash过滤器(filter)对事件中的数据进行特殊处理
大风的博客
05-17 7965
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 对事件中的数据进行处理 很多时候我们传入logstash的原始数据并不是我们所需要传输的最终数据,这个时候需要我们队数据进行处理。而filter用来进行数据处理的插件主要是下面几个 alter:主要根据元素中的值,对其进行重新赋值 mutate:主要对元素中的值.
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1631
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
ElasticSearch日志系统 使用Logstash简单处理日志信息
Beyond1536的博客
09-02 2316
目标: 使用Logstash的配置文件中的过滤器filter,对日志内容进行简单解析,并处理输出时生成字段。 Logstash实现多路接收。 观察日志格式 系统中的日志,能够大概分为以上两种类型,一种是纯系统操作信息日志,另一种是系统操作信息后,附带JSON格式的具体实体信息。 两种日志中,开头的信息及结构都是相同的。包括 日志编码、日志产生时间、日志产生线程、日志类型、日志产生类路径、日志内容。 grok正则捕获 我们可以通过gork,解析抽离出日志中的日志编码、日志产生时间
Logstash中Mutate过滤器的用法和常见配置项
最新发布
迪之的博客
12-14 1151
Mutate过滤器是Logstash中一个非常常用的过滤器,它可以用于修改事件中的字段值,添加或删除字段等操作。下面详细介绍Mutate过滤器的用法和常见配置项。
logstash(8)过滤器-通用选项
祈雨v的博客
01-18 473
参数 参数 类型 是否必须 默认值 add_field hash 否 {} add_tag array 否 remove_field array 否 remove_tag array 否 add_field 向事件添加任意字段 filter { xxx { add_field =&gt; {"project"=&gt;"kibana"}...
logstash max_field_length 扩大单个字段参数
06-06
Logstash中,可以使用`max_field_length`参数来设置单个字段的最大长度。默认情况下,该参数的值为65535个字节。如果需要扩大单个字段的最大长度,可以通过在Logstash的配置文件中添加如下行来指定新的值: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值