GROK函数

最新推荐文章于 2023-07-12 14:05:06 发布
最新推荐文章于 2023-07-12 14:05:06 发布
阅读量694 收藏 1
点赞数
分类专栏: logstash elk 分布式-日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snail_bi/article/details/103244878
版权
elk 同时被 3 个专栏收录
14 篇文章 1 订阅
订阅专栏
分布式-日志
9 篇文章 0 订阅
订阅专栏
logstash
5 篇文章 1 订阅
订阅专栏

https://help.aliyun.com/document_detail/125480.html

GROK函数

更新时间:2019-09-16 16:44:28

编辑我的收藏

本文档主要介绍GROK函数的语法规则,包括参数解释、函数示例等。

由于正则表达式较为复杂,推荐您优先使用GROK函数。说明 您也可以将GROK函数与正则表达式函数混合使用,例如:

# 会匹配 abc: 192.168.1.1  或者 xyz: 192.168.2.2 等形式
e_match("content", grok(r"\w+: (%{IP})"))
# 不会匹配 abc: 192.168.1.1, 而是匹配\w+: 192.168.1.1
e_match("content", grok(r"\w+: (%{IP})", escape=True))
  • 功能介绍

    根据正则表达式提取特定的值。

  • 函数格式 
    grok(pattern, escape=False, extend=None)
  • GROK语法 
    %{SYNTAX} 
%{SYNTAX:NAME}
    其中SYNTAX表示预定义正则模式,NAME表示分组。如下: 
    "%{IP}"               # 等价于 r"(?:\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
"%{IP:source_id}"     # 等价于 r"(?P<source_id>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
("%{IP}")             # 等价于 r"(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
    GROK模式中有些是自带命名分组捕获的,所以针对这种模式只能使用%{SYNTAX}这种方式的语法。此类模式常见于语句解析,例如: 
    "%{SYSLOGBASE}"        
"%{COMMONAPACHELOG}" 
"%{COMBINEDAPACHELOG}"
"%{HTTPD20_ERRORLOG}"
"%{HTTPD24_ERRORLOG}"
"%{HTTPD_ERRORLOG}"
...
    具体请参见GROK模式参考中的Log formats模块。此外,在GROK模式中有些是非捕获分组模式,例如: 
    "%{INT}"    
"%{YEAR}"
"%{HOUR}"
...
  • 参数说明
     
    参数名称参数类型是否必填说明
    patternStringGROK语法。具体的GROK模式,请参见GROK模式参考
    escapeBool是否将其他非GROK pattern中的正则相关特殊字符做转义,默认不转义。
    extendDict用户自定义的GROK表达式。
  • 函数示例
    • 示例1:提取日期和引用内容。原始日志: 
      content: 2019 June 24 "I am iron man"
      加工规则: 
      e_regex('content',grok('%{YEAR:year} %{MONTH:month} %{MONTHDAY:day} %{QUOTEDSTRING:motto}'))
      加工结果: 
      content: 2019 June 24 "I am iron man"
year: 2019
month: June
day: 24
motto: "I am iron man"
    • 示例2:提取http请求日志。原始日志: 
      content: 55.3.244.1 GET /index.html 15824 0.043
      加工规则: 
      e_regex('content',grok('%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}'))
      加工结果: 
      content: 55.3.244.1 GET /index.html 15824 0.043
client: 55.3.244.1
method: GET
request: /index.html
bytes: 15824
duration: 0.043
    • 示例3:提取Apache日志。原始日志: 
      content: 127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] "GET /router.php HTTP/1.1" 404 285 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
      加工规则: 
      e_regex('content',grok('%{COMBINEDAPACHELOG}'))
      加工结果: 
      content: 127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] "GET /router.php HTTP/1.1" 404 285 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
clientip: 127.0.0.1
ident: -
auth: -
timestamp: 13/Apr/2015:17:22:03 +0800
verb: GET
request: /router.php
httpversion: 1.1
response: 404
bytes: 285
referrer: "-"
agent: "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
    • 示例4:Syslog默认格式日志。原始日志: 
      content: May 29 16:37:11 sadness logger: hello world
      加工规则: 
      e_regex('content',grok('%{SYSLOGBASE} %{DATA:message}'))
      加工结果: 
      content: May 29 16:37:11 sadness logger: hello world
timestamp: May 29 16:37:11
logsource: sadness
program: logger
message: hello world
    • 示例5:转义特殊字符。原始日志: 
      content: Nov  1 21:14:23 scorn kernel: pid 84558 (expect), uid 30206: exited on signal 3
      加工规则: 
      e_regex('content',grok(r'%{SYSLOGBASE} pid %{NUMBER:pid} \(%{WORD:program}\), uid %{NUMBER:uid}: exited on signal %{NUMBER:signal}'))
"""因为包含了一个正则特殊字符 "(" 与 ")", 也可以这么写:"""
e_regex('content',grok('%{SYSLOGBASE} pid %{NUMBER:pid} (%{WORD:program}), uid %{NUMBER:uid}: exited on signal %{NUMBER:signal}', escape=True))
      加工结果: 
      content: Nov  1 21:14:23 scorn kernel: pid 84558 (expect), uid 30206: exited on signal 3
timestamp: Nov  1 21:14:23
logsource: scorn
program: expect
pid: 84558
uid: 30206
signal: 3
    • 示例6:用户自定义GROK表达式。原始日志: 
      content: Beijing-1104,gary 25 "never quit"
      加工规则: 
      e_regex('content',grok('%{ID:user_id},%{WORD:name} %{INT:age} %{QUOTEDSTRING:motto}',extend={'ID': '%{WORD}-%{INT}'}))
      加工结果: 
      content: Beijing-1104,gary 25 "never quit"
user_id: Beijing-1104
name: gary
age: 25
motto: "never quit"

 上一篇:正则表达式函数

下一篇:特定结构化数据函数 

相关文档

相关产品

  • 日志服务

    日志服务(Log Service,简称 LOG)是针对日志类数据一站式服务,在阿里巴巴集团经历了大量大数据场景锤炼而成。用户无需开发就能快捷完成数据采集、消费、投递以及查询分析等功能,帮助提升运维、运营效率,建立 DT 时代海量日志处理能力。

  • 对象存储 OSS

    阿里云对象存储服务(Object Storage Service,简称 OSS),是阿里云提供的海量、安全、低成本、高可靠的云存储服务。您可以通过调用 API,在任何应用、任何时间、任何地点上传和下载数据,也可以通过 Web 控制台对数据进行简单的管理。OSS 适合存放任意类型的文件,适合各种网站、开发企业及开发者使用。按实际容量付费真正使您专注于核心业务。

  • 云监控

    云监控(CloudMonitor) 是一项针

snail_bi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Grok:一款功能强大的语言处理技术,高效理解并整合可搜索信息,助力企业优化决策。
Nimiod的博客
05-07 185
信息高效提取与整合GrokAI能够高效地处理和分析大量的文本、图像和声音数据,从中提取出关键信息。通过对这些信息的整合,GrokAI帮助企业构建完整的数据视图,使其能够全面了解市场趋势、客户需求等关键业务信息。强大的语义分析与理解GrokAI具备深度语义分析能力,能够准确理解文本内容的含义和上下文关系。这种能力使得GrokAI在处理自然语言文本时能够更为精确,帮助企业从海量数据中筛选出真正有价值的信息。数据关联与模式识别。
grok 官方文档
zhaoyangjian724的专栏
08-30 1万+
grok: 解析任意文本并构造它: Grok 是当前最好的方式在logstash 解析蹩脚的非结构化日志数据 到一些结构化的可查询的。 这个工具是完美的对于syslog logs, apache和其他webserver logs,mysqllogs,在一般情况下,任何日志格式 通常对于人是友好的而不是对于电脑 Logstash 有120种模式默认,你可以找到它们在:https:/
grok语法定义
snail_bi的博客
11-25 2708
grok语法定义 grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 常用表达式 表达式标识 名称 详情 匹配例子 USERNAME 或 USER 用...
Grok常用表达式
zhangsaho的博客
12-06 5103
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 ...
Logstash配置插件grok详解
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置插件grok详解 grok是Logstash最重要的插件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
Grok_正则表达式
AngusDavis的博客
09-10 2818
Grok的正则表达式,虽然不是太全,但是已经可以满足日志分析的需求。 转载请说明出处,谢谢。 如果有错误请指出,谢谢。 #----------------------------------------------------------------------------------------------------------------------------------------
opengrok工具
04-04
通过这个工具,你可以轻松地在自己的项目中查找函数定义、追踪调用链,提高开发效率。记得定期更新索引以保持代码库的同步。如果你需要更详细的配置或者遇到问题,可以参考提供的 `opengrok配置文档` 文件进行调整。
tomcat opengrok install package
12-20
OpenGrok是一款强大的源代码搜索引擎,它能够帮助开发者快速定位和理解源代码中的函数、变量、类等元素。而Apache Tomcat则是一个广泛使用的Java应用服务器,主要用于部署和运行Java Web应用程序。在开发过程中,将...
ctags下载,opengrok依赖哦
08-15
1. 在搜索框输入函数名,`opengrok` 会立即返回所有匹配的结果,包括函数的定义、调用位置及使用说明。 2. 点击结果中的某个函数,会直接跳转到源码中该函数的定义,同时显示上下文信息。 3. 如果需要查看历史版本的...
opengrok-1.7.40.tar.gz
12-07
1. **源代码搜索**:Opengrok可以对源代码进行全文本搜索,包括函数、变量、类和文件名,使开发者能快速找到他们需要的信息。 2. **语法高亮**:在搜索结果中,Opengrok会以高亮的方式显示代码,便于理解代码结构和...
opengrok-1.2.23.tar.gz
10-07
- **搜索**: Opengrok支持全文搜索,可以在函数、类、文件名和注释中查找关键字。 - **跳转**: 通过点击搜索结果,可以直接跳转到源代码的具体位置。 - **语法高亮**: 显示的代码片段都带有语法高亮,便于阅读。 - *...
Logstash: Grok 模式示例
Elastic 中国社区官方博客
10-10 1559
Logstash 可以轻松解析 CSV 和 JSON 文件,因为这些格式的数据组织得很好,可以进行 Elasticsearch 分析。但是,有时我们需要处理非结构化数据,例如纯文本日志。在这些情况下,我们需要使用 Logstash Grok 或其他第 3 方服务解析数据以使其成为结构化数据。本教程将通过使用 Logstash Grok 进行解析,帮助你利用 Elasticsearch 的分析和查询功能。因此,让我们深入了解如何使用 Logstash Grok 过滤器处理非结构化数据。
(精华)2020年10月2日 微服务 logstash的使用
热门推荐
时光隧道
09-04 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
ELK logstash的grok 自带的正则匹配、自定义正则 使用
夏已微凉、
09-27 5748
一、使用1、查看 grok 自带的正则2、语法3、使用1)、Sample Data2)、Grok Pattern3)、Custom Patterns4)、结果5)、正则讲解二、在线测试1、在线Grok Debug工具,Grok校验|调试2、Kibana中调试三、logstash配置文件1、配置文件输入2、自定义正则生效 一、使用 1、查看 grok 自带的正则 ELK logstash的grok 自带的正则匹配 2、语法 需要提取出字段名 %{官方定义的正则名或者自定义的正则名:从日志中提取出来的字.
ELK中grok插件、mutate插件、multiline插件、date插件的相关配置
2302_76824193的博客
07-12 1352
grok 正则捕获插件、mutate 数据修改插件、multiline 多行合并插件、date 时间处理插件
filter grok 判断_logstash grok使用案例
weixin_42469315的博客
02-01 549
Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。它非常适用于syslog logs,apache和一些其他的webserver logs,以及mysql logs。grok有很多定义好pattern,当然也可以自己定义。grok的语法:%{SYNTAX:SEMANTIC}SYNTAX表示grok定义好的p...
Logstash 配置文件 Grok 语法
王小明的专栏
09-02 2314
Logstash 配置文件 Grok 语法 Grok 是啥? Grok 是一种采用组个多个预定义的正则表达式。用来匹配分割文本,并且映射到关键字的工具。主要用来对日志数据进行预处理。Logstash 的 filter 模块中 grok 插件就是其应用。其实主要思想就是用正则的方式匹配出字段,然后映射成某个...
logstash grok mysql_logstash -grok插件语法介绍
weixin_28224217的博客
02-01 257
logstash拥有丰富的filter插件,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无中生有的添加新的 logstash 事件到后续的流程中去!Grok 是 Logstash 最重要的插件之一。也是迄今为止使蹩脚的、无结构的日志结构化和可查询的最好方式。Grok在解析 syslog logs、apache and other webserver logs、mysql logs等...
Logstash grok匹配时间戳
weixin_40133285的博客
03-17 3767
Logstash grok 匹配时间戳 网络设备、安全设备、操作系统、数据库管理系统、业务应用时间戳 常见时间戳类型 | 表达式 | 名称 | 匹配例子| |--|--|--| |DATE_US| 美国时间 | 10-01-1892、10/01/1892/ | | DATE_EU | 欧洲日期格式 | 01-10-1892、01/10/1882、01.10.1892 | |ISO8601_TIMEZONE | ISO8601时间格式 | +10:23、-1023 | | TIMESTAMP_ISO8601
logstash grok
最新发布
10-02
Grok是一种流行的日志解析语言,可以用于在Logstash或者Ingest Pipeline中解析日志数据。你可以使用Grok插件来解析日志数据,并将其转换为结构化格式,以便更好地进行日志管理和分析。通过定义自定义的Grok模式,你可以匹配和提取日志中的特定字段,将它们存储到指定的字段中。 要在Logstash中使用Grok模式,你需要执行以下步骤: 1. 在Logstash配置文件中,添加一个input模块来读取日志数据源。 2. 在filter模块中使用grok插件,并定义你的自定义Grok模式。 3. 配置output模块来指定解析后的日志数据的目的地。 在Ingest Pipeline中使用Grok模式也类似,你可以在Pipeline的Grok处理器中定义自定义的Grok模式,并将其应用于输入的日志数据。通过定义适当的处理器和管道,你可以将解析后的日志数据发送到指定的目标。 在Logstash和Ingest Pipeline中使用Grok模式,可以帮助你快速准确地解析和处理日志数据,提取出你所需的字段。这可以帮助你更好地理解和分析日志,从而支持更好的日志管理和故障排查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值