logstash grok正则案例

最新推荐文章于 2022-06-07 23:00:43 发布
最新推荐文章于 2022-06-07 23:00:43 发布
阅读量10w+ 收藏 3
点赞数 1
分类专栏: ELK 文章标签: 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdcxlgb/article/details/108010956
版权

案例一

1.1 日志

Aug 6 2011 20:34:46 HUAWEI %% 01 HWCM/5/EXIT(l)[1]: exit from configure mode
Jan 8 2013 03:58:15+07:00 HUAWEI %% 01 HWCM/5/EXIT(l)[1]: exit from configure mode

1.2 日志grok解析

(?<ss1_date>(%{MONTH} %{MONTHDAY} %{YEAR} %{TIME}) | (%{MONTH} %{MONTHDAY} %{YEAR} %{TIME}%{ISO8601_TIMEZONE})) %{WORD:ss2_word} (?<ss3_cut_str>([\s\S]{2})) %{NUMBER:ss4_number} %{USERNAME:ss5_username}/%{NUMBER:ss6_number}/

1.3 解析结果

{
  "ss6_number": "5",
  "ss3_cut_str": "%%",
  "ss4_number": "01",
  "ss1_date": "Jan 8 2013 03:58:15+07:00",
  "ss5_username": "HWCM",
  "ss2_word": "HUAWEI"
}

1.4 必要说明

\s  空白符
\S  非空白符
[\s\S]  任意字符
[\s\S]*  0个到任意多个字符
[\s\S]*?  0个字符,匹配任何字符前的位置
\w  匹配包括下划线的任何单词字符。等价于[A-Za-z0-9_]
\W  匹配任何非单词字符。等价于[^A-Za-z0-9_]

截取字符串的前两位 (?<ss3_cut_str>([\s\S]{2}))

案例二

2.1 日志

2011-08-18 18:08:56 HUAWEI %%01CLI/5/LOGIN(l):CID=2160731923;VTY0 login from 192.168.0.1 succeed.

2.2 日志grok解析

(?<ss1_date>(%{YEAR}[./-]%{MONTHNUM}[./-]%{MONTHDAY})\s+%{TIME}) %{WORD:ss2_word} (?<ss3>([\s\S]{2}))(?<ss4>([\s\S]{2}))%{USERNAME:ss5_username}/%{NUMBER:ss6_number}/

2.3 解析结果

{
  "ss6_number": "5",
  "ss3": "%%",
  "ss4": "01",
  "ss1_date": "2011-08-18 18:08:56",
  "ss5_username": "CLI",
  "ss2_word": "HUAWEI"
}

案例三

3.1 日志

vclound 2015-11-03 03:35:50.283 INFO /usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203 _new_conn - 140192616544000= Starting new HTTP connection (1): 240.10.129.80

3.2 日志grok解析

%{WORD:ss1_word} %{TIMESTAMP_ISO8601:ss2_stamp_time} %{LOGLEVEL:ss3_loglevel} %{PROG:ss4_filepath}:%{NUMBER:ss5_number} %{USERNAME:ss6_username} %{USERNAME:ss7_word} %{NUMBER:ss8_number}= (?<ss9>(.*)): %{IPORHOST:ss10_ip}

3.3 解析结果

{
  "ss2_stamp_time": "2015-11-03 03:35:50.283",
  "ss4_filepath": "/usr/lib/python2.6/site-packages/urllib3/connectionpool.py",
  "ss6_username": "_new_conn",
  "ss3_loglevel": "INFO",
  "ss5_number": "203",
  "ss7_word": "-",
  "ss10_ip": "240.10.129.80",
  "ss8_number": "140192616544000",
  "ss9": "Starting new HTTP connection (1)",
  "ss1_word": "vclound"
}

grok截取指定字符

参考:https://blog.csdn.net/cai750415222/article/details/86614854
在这里插入图片描述


表达式:(?<temMsg>(.*)(?=Report)/?) 获取Report之前的字符
表达式:(?<temMsg>(?=Report)(.*)/?) 获取包含Report及之后的字符
表达式:(?<temMsg>(.*)(?<=Report)/?) 获取不含Report及之后的字符

表达式:(?=Report)中的等于【=】符号如果换成【<=】表示不包含本身

表达式:(?<temMsg>(?<=Report).*?(?=msg)) 截取Report和msg之间的值 不包含Report和msg本身
表达式:(?<temMsg>(Report).*?(?=msg)) 截取包含Report但不包含msg
表达式:(?<temMsg>(?<=Report).*?(msg))截取不包含Report但包含msg
表达式:(?<temMsg>(Report).*?(msg|request))输出以Report开头,以msg或者以request结尾的所有包含头尾信息
表达式:(?<temMsg>(Report).*?(?=(msg|request)))输出以Report开头,以msg或者以request结尾的不包含头尾信息

如果是单个字符串(Report).*?(?=msg) 可以写成Report.*?(?=msg)
表达式:(?<file>([\s\S]{50})) 截取日志前50个字符,作为file的值
sdcxlgb
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 897
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
使用Logstash过滤插件Grok实现多模式匹配
江晓龙的博客
07-13 1912
一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。grok多模式语法格式: 1)首先编写正则表达式分别匹配出两个数据的字段 2)配置logstash使用grok多模式匹配 成功的将两种不同类型
logstash grok使用案例
weixin_33831673的博客
05-24 335
GrokLogstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。它非常适用于syslog logs,apache和一些其他的webserver logs,以及mysql logs。grok有很多定义好pattern,当然也可以自己定义。grok的语法:%{SYNTAX:SEMANTIC}SYNTAX...
关于Logstashgrok插件的正则表达式例子
趣学程序
07-07 480
一、前言 近期需要对Nginx产生的日志进行采集,问了下度娘,业内最著名的解决方案非ELK(Elasticsearch, Logstash, Kibana)莫属。 Logstash负责采集日志,Elasticsearch负责存储、索引日志,Kibana则负责通过Web形式展现日志。 今天,我要说的是Logstash,它可以从多种渠道采集数据,包括控制台...
Logstash:日志解析的 Grok 模式示例
Elastic 中国社区官方博客
04-27 3244
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
logstash利用grok截取字符中指定长度的内容
fengzhimohan的博客
10-29 5561
最近项目用到logstash,要求利用grok截取日志消息中某一指定长度的内容。 Logstatsh需要两个必需参数input、output,以及一个可选参数filter。input用于输入数据的设置,output用于输出数据的设置。filter是实现数据过滤的设置。grok是在filter里面实现数据截取。 项目有一串协议消息如 7e8900000c040116432693324af001018...
logstash grok 自测实例+常用正则grok-patterns)
qq_34646817的博客
08-01 9213
一、背景 研究了grok一下整天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其中的Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog...
Logstash Grok过滤器的高级用法
Logstash Grok过滤器简介 ## 1.1 Grok过滤器的作用和原理 Grok过滤器是Logstash一个非常强大和常用的插件,它用于对非结构化的日志数据进行解析和提取。通过使用Grok过滤器,我们可以将复杂的日志数据转化为...
LogStash安装及综合案例
Imflash的博客
09-22 1626
文章目录14、LogStash介绍及安装1、介绍2 、node01机器安装LogStash3、Input插件1、stdin标准输入和stdout标准输出2、监控日志文件变化3、jdbc插件第一步:编写脚本第二步:上传mysql连接驱动包到指定路劲第三步:检查配置文件是否可用第四步:启动服务第五步:数据库当中添加数据4 systlog插件4、filter插件1、grok正则表达式1、收集控制台输入数...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1621
1、logstash过滤器插件filter 1.1、grok正则捕获 grok一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
【ELK之logstashgrok入门:自测实例+常用正则grok-patterns)
MayMatrix 的博客
03-13 2355
一、背景 研究了grok几天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其中的Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog.csdn.net/q...
logstashGrok插件正则表达式使用示例
阿瑟与非
04-13 3120
一、文档地址 logstash插件grok地址:https://www.elastic.co/guide/en/logstash/7.6/plugins-filters-grok.html 正则在线调试:http://grokdebug.herokuapp.com/ 官方预定义的 grok 表达式:https://github.com/logstash-plugins/logstash-pa...
filter grok 判断_logstash grok使用案例
weixin_42469315的博客
02-01 555
GrokLogstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。它非常适用于syslog logs,apache和一些其他的webserver logs,以及mysql logs。grok有很多定义好pattern,当然也可以自己定义。grok的语法:%{SYNTAX:SEMANTIC}SYNTAX表示grok定义好的p...
grok 正则解析日志例子<1>
zhaoyangjian724的专栏
08-27 2886
下面是日志的样子 55.3.244.1 GET /index.html 15824 0.043 正则的例子 %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} 配置文件里是怎么写得? input { file { path => “/var/log/http
ELK+grok+华为防火墙USG6500会话日志
XiaoMa_Ge2019的博客
05-08 4720
前言 作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。 处理流程 1、开启防火墙会话功能 2、elk在logstash配置文件配置grok插件; 3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要信息(源端口、源IP、目的端口、目的ip等); 详细部署 1、重点grok如何分析防火墙日志; 示例:有了语法和语
zabbix监控华为服务器硬件状态
热门推荐
yanggd1987的专栏
03-02 1万+
简介zabbix监控华为服务器的硬件是通过iBMC,iBMC系统默认支持V3版本的SNMP服务,SNMP V1和SNMP V2C由于自身机制存在安全隐患,默认是不开启的。如果使用SNMP V1和SNMP V2C需要配置团体名,而用V3只需知道用户名密码及加密算法即可。我们可以现在zabbix server上安装snmpwalk,然后进行如下测试:[root@test ~]# snmpwalk -v
logstashgrok提取中括号关键词后面的数据到指定字段
Zhang Phil
06-07 1848
logstashgrok提取中括号关键词后面的数据到指定字段比如,现在有一段数据, 需要提取[TASKID:***] 里面的*数据,也即本例的 1a-2b_3c ,然后放到指定的字段task_id里面。在grok里面写正则: 在grok debugger里面运行:总结:......
logstash filter grok正则
最新发布
04-29
Logstash filter grok正则是一种用于从未结构化的日志数据中提取有用信息的工具。它基于正则表达式,可以在日志数据中识别出特定的模式,并将其转换为结构化的数据。以下是一些常用的 grok 正则表达式示例: - 提取 IP 地址:`%{IP:client}` - 提取日期和时间:`%{TIMESTAMP_ISO8601:timestamp}` - 提取数字:`%{NUMBER:bytes}` - 提取 URL:`%{URI:url}` - 提取日志级别:`%{LOGLEVEL:level}` - 提取操作系统信息:`%{SYSLOG5424SD:os}` 在 Logstash 中使用 grok 正则表达式,可以通过在 filter 部分添加 grok 插件来实现。例如: ``` filter { grok { match => { "message" => "%{IP:client} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent}" } } } ``` 以上是一个示例 grok 正则表达式,可以从 Apache 日志中提取客户端 IP 地址、用户名、认证信息、时间戳、请求方法、请求路径、HTTP 版本、响应码、字节数、referrer 和 user-agent 等信息,并将其转换为结构化的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sdcxlgb

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值