logstash + grok 正则语法

最新推荐文章于 2024-05-16 05:11:44 发布
最新推荐文章于 2024-05-16 05:11:44 发布
阅读量5.1k 收藏 4
点赞数
分类专栏: grok elasticsearch logstash 文章标签: logstash grok elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/signmem/article/details/58609227
版权
logstash 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
grok
1 篇文章 0 订阅
订阅专栏
elasticsearch
1 篇文章 0 订阅
订阅专栏

详细正则规则参考:

正则语法规则

例:

日志格式如下

[vclound][2015-11-03 03:35:50,283][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new HTTP connection (1): 240.10.129.80]
[vclound][2015-11-03 03:35:50,381][DEBUG][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295][_make_request][-][140192616544000]=["POST /v2.0/tokens HTTP/1.1" 200 3080]
[vclound][2015-11-03 03:35:50,384][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new HTTP connection (1): 240.10.129.160]
[vclound][2015-11-03 03:35:50,454][DEBUG][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295][_make_request][-][140192616544000]=["GET /v2/bb0b51d166254dc99bc7462c0ac002ff/servers/b4b530e7-cd9b-42c1-bcd4-a48140726846 HTTP/1.1" 404 73]

logstash 正则规则参考

(下面代码, 编辑器无法显示, 请点击 view plain 进行阅读)

filter {
  if [type] == "pinyun" {
    grok {
      match => { "message" => "\[%{USERNAME:username}\]\[%{TIMESTAMP_ISO8601:time}\]\[%{LOGLEVEL:loglevel}\]\[%{PROG:filepath}\]\[%{PROG:function}\]\[-\]\[%{BASE16NUM:progid}\]\=\[%{GREEDYDATA:info}\]" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
  }
}

注意: 当日志输出有空格, 那么匹配时候就带空格, 如果是特殊字符, 那么就直接匹配该特殊字符

输出效果

如下:

{
          "message" => "[vclound][2015-11-03 03:35:50,283][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new HTTP connection (1): 240.10.129.80]",
         "@version" => "1",
       "@timestamp" => "2015-11-03T02:01:30.051Z",
             "type" => "pinyun",
             "file" => "/apps/logs/uwsgi/uwsgi.log",
             "host" => "terry-zskvt.vclound.com",
           "offset" => "58995",
         "username" => "vclound",
             "time" => "2015-11-03 03:35:50,283",
         "loglevel" => "INFO",
         "filepath" => "/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203",
         "function" => "_new_conn",
           "progid" => "140192616544000",
             "info" => "Starting new HTTP connection (1): 240.10.129.80",
      "received_at" => "2015-11-03T02:01:30.051Z",
    "received_from" => "terry-zskvt.vclound.com"
}
{
          "message" => "[vclound][2015-11-03 03:35:50,381][DEBUG][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295][_make_request][-][140192616544000]=[\"POST /v2.0/tokens HTTP/1.1\" 200 3080]",
         "@version" => "1",
       "@timestamp" => "2015-11-03T02:01:30.060Z",
             "type" => "pinyun",
             "file" => "/apps/logs/uwsgi/uwsgi.log",
             "host" => "terry-zskvt.vclound.com",
           "offset" => "59181",
         "username" => "vclound",
             "time" => "2015-11-03 03:35:50,381",
         "loglevel" => "DEBUG",
         "filepath" => "/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295",
         "function" => "_make_request",
           "progid" => "140192616544000",
             "info" => "\"POST /v2.0/tokens HTTP/1.1\" 200 3080",
      "received_at" => "2015-11-03T02:01:30.060Z",
    "received_from" => "terry-zskvt.vclound.com"
}
{
          "message" => "[vclound][2015-11-03 03:35:50,384][INFO][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203][_new_conn][-][140192616544000]=[Starting new HTTP connection (1): 240.10.129.160]",
         "@version" => "1",
       "@timestamp" => "2015-11-03T02:01:30.068Z",
             "type" => "pinyun",
             "file" => "/apps/logs/uwsgi/uwsgi.log",
             "host" => "terry-zskvt.vclound.com",
           "offset" => "59362",
         "username" => "vclound",
             "time" => "2015-11-03 03:35:50,384",
         "loglevel" => "INFO",
         "filepath" => "/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:203",
         "function" => "_new_conn",
           "progid" => "140192616544000",
             "info" => "Starting new HTTP connection (1): 240.10.129.160",
      "received_at" => "2015-11-03T02:01:30.068Z",
    "received_from" => "terry-zskvt.vclound.com"
}
{
          "message" => "[vclound][2015-11-03 03:35:50,454][DEBUG][/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295][_make_request][-][140192616544000]=[\"GET /v2/bb0b51d166254dc99bc7462c0ac002ff/servers/b4b530e7-cd9b-42c1-bcd4-a48140726846 HTTP/1.1\" 404 73]",
         "@version" => "1",
       "@timestamp" => "2015-11-03T02:01:30.074Z",
             "type" => "pinyun",
             "file" => "/apps/logs/uwsgi/uwsgi.log",
             "host" => "terry-zskvt.vclound.com",
           "offset" => "59549",
         "username" => "vclound",
             "time" => "2015-11-03 03:35:50,454",
         "loglevel" => "DEBUG",
         "filepath" => "/usr/lib/python2.6/site-packages/urllib3/connectionpool.py:295",
         "function" => "_make_request",
           "progid" => "140192616544000",
             "info" => "\"GET /v2/bb0b51d166254dc99bc7462c0ac002ff/servers/b4b530e7-cd9b-42c1-bcd4-a48140726846 HTTP/1.1\" 404 73",
      "received_at" => "2015-11-03T02:01:30.074Z",
    "received_from" => "terry-zskvt.vclound.com"
}
Terry_Tsang
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logstash6配置语法中的条件判断
bielaiwuyang1999的博客
11-11 1300
详情可见官方文档-conditionals。 有时您只想在特定条件下过滤或输出事件。为此,您可以使用条件(conditional)。比如在elk系统中想要添加一个type类型的关键字来根据不同的条件赋值,最后好做统计。 Logstash中的条件查看和行为与编程语言中的条件相同。 条件语支持if,else if和else语句并且可以嵌套。 条件语法如下: if EXPRESSION { ... ...
logstash 条件判断语句
热门推荐
sxf_123456的博客
09-01 3万+
logstash 条件判断语句 使用条件来决定filter和output处理特定的事件。logstash条件类似于编程语言。条件支持if、else if、else语句,可以嵌套。  比较操作有:  相等: ==, !=, , =  正则: =~(匹配正则), !~(不匹配正则)  包含: in(包含), not in(不包含)  布尔操作:  and(与), or(或), nand(
Logstash常用配置和日志解析_logstash 日志输出位置
最新发布
2401_84715926的博客
05-16 1329
syslog { # 系统日志方式type => “system-syslog” # 定义类型port => 10514 # 定义监听端口beats { # filebeats方式filter {#定义数据的格式grok {#定义时间戳的格式date {#定义客户端的IP是哪个字段(上面定义的数据格式)geoip {#需要进行转换的字段,这里是将访问的时间转成int,再传给Elasticsearchmutate {output {
logstash判断是否匹配_Logstash if语句和正则表达式示例
weixin_39658619的博客
12-20 1242
Can anyone show me what an if statement with a regex looks like in logstash?My attempts:if [fieldname] =~ /^[0-9]*$/if [fieldname] =~ "^[0-9]*$"Neither of which work.What I intend to do is to check if...
logstash 正则表达式gork+例子
c_zyer的博客
08-29 1万+
认识正则表达式,熟悉书写格式: 以下为自定义的一些内容,在\logstash-5.5.1\vendor\bundle\jruby\1.9\gems\logstash-patterns-core-4.1.1\patterns\grok_patterns下是官方定义的一些pattern可供使用,想自定义也可以在里面定义,或者直接在fork中书写: \cx 匹配
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统
04-30
基于docker-compose构建filebeat + Logstash +Elasticsearch+ kibana日志系统 对nginx日志进行正则切割字段。 https://www.jianshu.com/p/f7927591d530
使用Flume+Logstash+Kafka+Spark Streaming进行实时日志处理分析【大数据】
10-29
flume+Logstash+Kafka+Spark Streaming进行实时日志处理分析【大数据】
elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)
04-25
总结起来,"elasticsearch+logstash+kibana+filebeat.7z (ELK 7.9.0)" 压缩包包含了一套完整的日志管理和分析工具链,适用于大数据环境,可以帮助企业实现高效的数据收集、处理、存储和可视化。通过使用这套工具,...
logstashGrok插件正则表达式使用示例
阿瑟与非
04-13 3046
一、文档地址 logstash插件grok地址:https://www.elastic.co/guide/en/logstash/7.6/plugins-filters-grok.html 正则在线调试:http://grokdebug.herokuapp.com/ 官方预定义的 grok 表达式:https://github.com/logstash-plugins/logstash-pa...
ELK生态:Logstash增量读取log文件数据,导入到Elasticsearch
alan_liuyue的博客
06-17 4577
简介 ELK生态之Logstash导入数据到Elasticsearch; 数据源:log格式文件,内容为log日志; ElasticsearchLogstash版本:5.6.1; 前提环境:Elasticsearch单机或集群;Logstash客户端; 实践 log文件内容: 01-Apr-2019 08:17:04.787 SEVERE [ajp-nio-8009-exec-7] ...
logstash判断是否匹配,Logstash if语句和正则表达式示例
weixin_34043280的博客
12-20 898
Can anyone show me what an if statement with a regex looks like in logstash?My attempts:if [fieldname] =~ /^[0-9]*$/if [fieldname] =~ "^[0-9]*$"Neither of which work.What I intend to do is to check if...
Logstash filter grok正则的使用及介绍
qq_43164571的博客
09-08 1617
2.使用Logstash内置的正则案例1 3.使用Logstash内置的正则案例1 4.使用logstash自定义的正则案例 5.filter插件通用字段案例 6.data插件修改写入file的时间 7.geoip分析源地址的地址位置 8.useragent分析客户端的设备类型 9.mutate组件数据准备-python脚本 10.mutate组件常用字段案例 11.logstash的多if分支案列 12.今日作业
Logstash 配置文件 Grok 语法
王小明的专栏
09-02 2312
Logstash 配置文件 Grok 语法 Grok 是啥? Grok 是一种采用组个多个预定义的正则表达式。用来匹配分割文本,并且映射到关键字的工具。主要用来对日志数据进行预处理。Logstash 的 filter 模块中 grok 插件就是其应用。其实主要思想就是用正则的方式匹配出字段,然后映射成某个...
Logstash自带正则表达式
xuguokun1986的博客
11-02 4742
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+))) NUMBER (?:%{BASE10NUM}) BASE16NUM (? BASE16FLOAT \b(? POSINT \b(?:
Logstash配置语法
weixin_45880055的博客
08-11 3770
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。 Logstash配置文件有如下三部分组成,其中input、output部分是必须配置,filt
Logstash filter 的使用
m0_56342013的博客
06-18 1128
Logstash filter 的使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Terry_Tsang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值