ELK测试 logstash 配置,包含解析时间字段

最新推荐文章于 2024-04-17 06:49:02 发布
最新推荐文章于 2024-04-17 06:49:02 发布
阅读量1k 收藏
点赞数
分类专栏: ELKB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011007997/article/details/90405995
版权

input {   #使用beats 收集 日志
    beats {
        port => "5044"
    }
}

filter {
if [fields][logtype] ==  "access" {
    grok {
        match => {
          "message" => '%{HTTPDATE:logdate}'   #得到时间格式 15/May/2019:19:45:31 +0800,时间格式由日志中格式决定
          "message" => '%{IP:clientip}'
        }
    }

 #HTTPDATE, IP 规则在https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns , 可以自定义

    date {
        match => ["logdate", "dd/MMM/yyyy:HH:mm:ss Z"]  #匹配日志中的时间 到logdate
    }
    geoip {
    source => "clientip"
    target => "geoip"
    }
}
  if [fields][logtype] ==  "catalina" {
   grok {
    match => {
      "message" => '%{TIMESTAMP_ISO8601:logdate}'  #匹配日志中的时间 到logdate, 得到时间格式 2019-5-16 03:12:40时间格式由日志中格式决定
    }
 
        pattern_definitions => {
            "MESSAGE" => "[\s\S]*"
        }
    }
    date {  #使用logdate到@timestamp  l
        match => ["logdate", "yyyy-MM-dd HH:mm:ss","dd/MM/yyyy:HH:mm:ss Z"]  
            locale => en
            timezone => "+0800"  #由于logdate 没带时区,应用到@timestamp 中会有时区转换, 不加会导致时间戳会+8 小时
    }

  }
}

output {
  if [fields][logtype] ==  "catalina" {
    elasticsearch {
      hosts => ["host_IP:9200"]
      index => "%{[fields][env]}-catalina-%{+YYYY-MM}" #按月划分index 
    }
  }
  if [fields][logtype] ==  "access" {
    elasticsearch {
      hosts => ["host_IP:9200"]
      index => "%{[fields][env]}-access-%{+YYYY-MM}"
    }
  }
}

目前使用版本ELKB7.0 详细看官网https://www.elastic.co/guide/en/logstash/current/index.html  

u011007997
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash解析nginx时间字段
weixin_33708432的博客
05-16 1483
2019独角兽企业重金招聘Python工程师标准>>> ...
Logstash替换字符串,解析json数据,修改数据类型,获取日志时间
weixin_30747253的博客
10-22 1083
在某些情况下,有些日志文本文件类json,但它的是单引号,具体格式如下,我们需要根据下列日志数据,获取正确的字段字段类型 {'usdCnyRate': '6.728', 'futureIndex': '463.36', 'timestamp': '1532933162361'} {'usdCnyRate': '6.728', 'futureIndex': '463.378', 'tim...
全面解析logstash
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-17 896
Logstash 是一款开源的数据收集引擎,由 Elastic 公司开发,主要用于实时地从多种数据源采集、解析、过滤、转换和输出数据。它是 Elastic Stack(Elasticsearch、Kibana、Logstash 和 Beats)中的一个重要组件,专门用于处理日志、指标和其他半结构化或非结构化数据。Logstash 采用数据管道模型来处理数据。
ELK系列(五)、Logstash修改@timestamp时间日志的产生时间
王义凯 的博客
05-23 1万+
上一篇讲了如何使用Logstash监控nginx日志并打印到控制台或导入到ES中,在kibana的discover中我们可以根据@timestamp时间对数据进行过滤和排序,但这里显示的@timestamp时间是指logstash读取到日志时间而不是日志真正产生的时间,本篇就介绍如何配置使logstash在采集日志的过程中使用日志的真实时间戳作为消息体的时间戳,便于我们之后的分析 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0 ELK
ELKLogstash6.7版本配置记录及格式化时间
小白的专栏
10-09 784
一、背景 项目统一升级ELK,原来的版本已经不适配新的集群,需要升级elk版本,升级的过程中很多配置改变,记录下相关操作。 这里只记录logstash的相关配置。 二、相关配置 我们都知道logstash配置文件的主要格式如下 input { } filter { } output { } 原来项目使用的是2.3.4版本的logstash,升级到新版本后相关的配置发生了改变。 2.3.4版本input input { kafka{ group_i
Logstash 原理分析/配置文件详解 时间 日期 时区 ip 反斜杠 grok在线地址 类型转换
浮生若梦
10-05 6311
基本配置 Logstash 本身不能建立集群,Filebeat 连接 Logstash 后会自动轮询 Logstash 服务器是否可用,把数据发送到可用的 Logstash 服务器上面去 Logstash 配置,监听5044端口,接收 Filebeat 发送过来的日志,然后利用 grok 对日志过滤,根据不同的日志设置不同的 type,并将日志存储到 Elasticsearch 集群上面 项目...
Palo Alto防火墙生产环境logstash配置文件 PANOS 10.2.8 测试通过 - 2024最新版
04-03
这个配置文件用于通过 logstash 解析Palo Alto Networks(PAN-OS)防火墙产生的Syslog日志,并将其转换为结构化的数据格式以便于后续处理和分析。 这个配置文件提供了以下功能: 1. 解析Palo Alto Networks(PAN-...
实战ELKlogstash
08-28
ELK实战,设计到logstash等。
自定义的logstash配置文件
08-10
自定义文件的logstash配置文件
logstash ELK
11-05
Logstash 是一个开源的数据收集引擎,它具有备实时数据传输能力。它可以统一过滤来自不同源的数据,并按照开发者的制定的规范输出到目的地。
suricata elk kibana logstash安装手册.rar
02-26
免责声明:资料部分来源...收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者或出版方,资料版权归原作者或出版方所有,本人不对所涉及的版权问题或内容负法律责任。如有侵权,请举报或通知本人删除。
logstash增加和替换时间
cts618
01-13 648
mutate { gsub => [ "Date", "Z$", "" ] } date { match => [ "date", ISO8601 ] target => "[@metadata][date]" } ruby { code => ' t = Time.at(event.get("[@metadata][date]").to_i) d = DateTime.parse(t.to_s) event.set(.
Logstash grok匹配时间
weixin_40133285的博客
03-17 3616
Logstash grok 匹配时间戳 网络设备、安全设备、操作系统、数据库管理系统、业务应用时间戳 常见时间戳类型 | 表达式 | 名称 | 匹配例子| |--|--|--| |DATE_US| 美国时间 | 10-01-1892、10/01/1892/ | | DATE_EU | 欧洲日期格式 | 01-10-1892、01/10/1882、01.10.1892 | |ISO8601_TIMEZONE | ISO8601时间格式 | +10:23、-1023 | | TIMESTAMP_ISO8601
logstash中常见时间格式的定义
weixin_42039715的博客
11-27 3318
1、在配置文件中自定义的时间格式 例如 tomcat 定义的格式%{yyyy-MM-dd HH:mm:ss Z},按照这样的配置,输出的日志原文是 "timestamp" : "2019-12-11 10:11:12 +0800"   那么在 logstash 中应该这样配置 date {   match => [ "timestamp", "yyyy-MM-dd HH:mm:ss Z"]   target => "@timastamp" } 这样子不会报"_datepa...
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8127
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
Logstash配置(官方文档)2-事件数据和字段
bigwood99的博客
04-13 684
Logstash代理是一个分三个阶段处理:inputs->filters->outputs。 inputs生成事件,filters修改他们,outputs输出他们到指定位置。 所有的事件都有属性。例如一个apache日志文件有一些类似像status的代码(202,404),request path ("/","index"),http请求方式(GET,POST),客户端ip地址等等...
logstash学习——01
a123123sdf的博客
11-24 1341
一、专业术语介绍 (一)@metadata【重要】 用于存储您不想包含在输出事件中的内容的特殊字段。例如,该@metadata 字段可用于创建用于条件语句的临时字段。 例子: filter { mutate { add_field => { "show" => "This data will be in the output" } } mutate { add_field => { "[@metadata][test]" => "Hello" } } mutate { a
Logstash日志产生时间替换@timestamp
零度的博客专栏
07-02 1万+
一、跟着官网学习一下date插件      日期过滤器用于从字段解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动中没有找到正确的日期,那么稍后搜索它们可能会排序错...
logstash时间戳转换
热门推荐
小龙在线
12-11 2万+
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。
logstash 类图
09-11
2. 过滤器插件:用于处理和转换收集到的数据,如解析结构化数据、添加字段、删除字段等。 3. 输出插件:用于将处理后的数据发送到指定的目的地,如 Elasticsearch、文件、消息队列等。 4. 配置文件:用于定义数据流...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值