logstash grok 多项匹配

最新推荐文章于 2024-03-19 11:00:39 发布
最新推荐文章于 2024-03-19 11:00:39 发布
阅读量2.3w 收藏 4
点赞数 1
分类专栏: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011019726/article/details/78716553
版权

业务场景:新版本日志需要添加字段,需要兼容新旧日志匹配

版本:logstash-2.3

filter {
    grok {
         match => [
            "message" , "%{DATA:hostname}\|%{DATA:tag}\|%{DATA:types}\|%{DATA:uid}\|%{GREEDYDATA:msg}",
            "message" , "%{DATA:hostname}\|%{DATA:tag}\|%{GREEDYDATA:msg}"
         ]
        remove_field => ['type','_id','input_type','tags','message','beat','offset']
    }
}
filter {
    grok {
	match => {
	    "message"=>[
		"%{DATA:hostname}\|%{DATA:tag}\|%{DATA:types}\|%{DATA:uid}\|%{GREEDYDATA:msg}",
		"%{DATA:hostname}\|%{DATA:tag}\|%{GREEDYDATA:msg}"]
	    }
    }
}
太多使用DATA和GREEDYDAYA会导致性能cpu负载严重。建议多使用正则匹配,或者ruby代码块 
filter {
     grok {
        match => [
               "message", "(?<hostname>[a-zA-Z0-9._-]+)\|%{DATA:tag}\|%{NUMBER:types}\|(?<uid>[0-9]+)\|%{GREEDYDATA:msg}",
               "message", "(?<hostname>[a-zA-Z0-9._-]+)\|%{DATA:tag}\|%{GREEDYDATA:msg}",
        ]
       remove_field => ['type','_id','input_type','tags','message','beat','offset']
    }
}

filter {
    ruby {
        code =>'
        arr = event["message"].split("|")
        if arr.length == 5
            event["hostname"] = arr[0]
            event["tag"] = arr[1]
            event["types"] = arr[2]
            event["uid"] = arr[3]
            event["msg"] = arr[4]
        elsif arr.length == 3
            event["hostname"] = arr[0]
            event["tag"] = arr[1]
            event["msg"] = arr[2]
        end'
       remove_field => ['type','_id','input_type','tags','message','beat','offset']
    }
}

参考文档:https://github.com/chenryn/logstash-best-practice-cn/blob/master/filter/grok.md

很长很长的名字
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
logstash-filter-grok-4.0.4.zip
01-15
logstash-filter-grok-4.0.4.zip.................................
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog 前缀解析失败,消息将被标记为“syslog_parsefailure”。 然后使用各种模式根据系统日志中的“程序”字段解析消息。 任何未解析的内容都将带有标签“syslog_message_unparsed”。
Grok模型初步评测-部署Grok模型的硬件配置
最新发布
YELLOWAUG的博客
03-19 2330
马斯克最新模型grok本地化部署需要的配置以及预算的估算
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
科尔格 korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,在使用非结构化数据时,您也应该使用它,而您只是自己提供定制模式。 在此演示中,我快速向您展示如何在一个简单的Web服务器日志示例中使用它: Serving HTTP on 0.0.0.0 port 8080 (http://0.0.0.0:8080/) ... 127.0.0.1 - - [18/Jan/2020 10:2
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github.com/jrxfive/groktoregex 用法 一旦构建 groktoregex 只需要两个标志,'--grok' 和 '--source'。 Source 是一个文件夹,其中包含 logstash grok 名称及其值。 使用的格式是: "<GROK>" = "<VALUE>" 将自定义 grok 值添加到提供的文件或创建一个新文件。 GrokToRegex 将使用 glob 并选取给定文件夹中的任何文件。 例子 ./groktoregex --pattern "%{HOSTPORT}" --loo
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash笔记(二)——grokmatch
weixin_30693183的博客
03-30 481
官方文档: https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html 基本语法: %{SYNTAX:SEMANTIC} SYNTAX:定义的正则表达式名字(系统插件自带的默认位置:$HOME/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-2....
logstash grok插件中用正则表达式匹配java log
山间明月江上清风的专栏
04-21 3576
logstashgrok插件,匹配下面格式的log2018-04-17 23:42:10.335 INFO [main] s.b.c.e.t.TomcatEmbeddedServletContainer : Tomcat initialized with port(s): 8080 (http)用表达式%{DATA:day} %{DATA:time} %{DATA:level} \[%{DA...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1571
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
Logstash过滤器之常用插件使用
格子的博客
11-25 3791
Logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出来的日志写入到elasticsearch中。Logstash官方文档中介绍的logstash的过滤插件大概有四十多种,logstash常用的过滤插件有grok、mutate、kv、date、geoip插件等。 一、grok 插件 groklogstash最主要的过滤插件,grok是通过系统预定义的正则表达式或者通过自己定义正则表达式来匹配日志中的各个值。 1、matc.
使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 755
我们可以直接在grokmatch配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
Logstash Grok详解
热门推荐
叱咤少帅的博客
03-18 1万+
介绍 LogstashGrok 可以使蹩脚的、无结构的日志内容结构化 需要注意的地方 grok 模式是正则表达式,因此这个插件的性能受到正则表达式引擎严重影响,效率并不高。如果通过给定的匹配格式匹配不上会Kibana查询的时候打上tag 为 grok failed 的标签 语法详解 grok模式的语法如下: %{SYNTAX:SEMANTIC} SYNTAX:代表匹配值的类型,例如3.44可以...
Logstash笔记(三)----Filter插件及grok的正则表达式来解析日志
weixin_34360651的博客
05-23 338
(一)简介: 丰富的过滤器插件的存在是 logstash 威力如此强大的重要因素。名为过滤器,其实提供的不单单是过滤的功能,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无中生有的添加新的 logstash 事件到后续的流程中去! GrokLogstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或...
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 1582
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
使用Logstash过滤插件Grok实现多模式匹配
江晓龙的博客
07-13 1805
一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。grok多模式语法格式: 1)首先编写正则表达式分别匹配出两个数据的字段 2)配置logstash使用grok多模式匹配 成功的将两种不同类型
ELK-使用nxlog+filebeat采集不同类型的日志输出到logstash
陈袁的博客
04-24 3726
使用nxlog+filebeat采集不同类型的日志输出到logstash 前言 网络上有很例子给出一示例是采集一种类型的日志输出到logstash,但一个系统上日志种类很多,同一个采集端能区分不同日志类型吗? 下面的结构是nxlog做客户端采集,通过tcp协议发送到logstash,然后logstash传输到elasticsearch。 前提条件必需: 安装好elasticsearch,logs...
 logstash grok中的正则
Baron_ND的博客
11-03 433
logstash中的grok中正则匹配 其实当我们使用到匹配规则的时候,有时候可以适当的使用一些简单的技巧避免掉一些麻烦的正则写法,比如在json中套json数组的时候,多个中括号的匹配,就可以加个空格或者特殊字符区分,这个就可以方便的知道该匹配到哪里, eg. grok { match => { "message" => "^\[%{EXIM_DATE:datetime}\]\[%{GREEDYDATA:meth.
logstash匹配正则做判断,正则表达式的写法
weixin_45583482的博客
11-25 1558
笔者在使用logstash做日志解析的时候,需要根据日志源(source字段)来进行判断,以何种格式进行解析。 此时source字段来源非常多,比如a,b, c,在此之下有分为很多种日志,如1,2,3.此时我的source就有 a1,a2,a3,b1,b2,b3,c1,c2,c3,如果我现在只想解析1这种类型的日志,而且我不知到之后还会引入多少个源。那么采用正则匹配来判断是必然的了。 正则表达式写法如下 1 首先得在首尾叫上’/’,表示这是个正则 如 [a] =~ /****/ 2 接下是几个常用的写法 x
logstash学习——02
a123123sdf的博客
11-24 1856
目录标题一、File(Input plugins)(一)插件介绍(二)配置项(三)实例二、Grok (filter plugins)(一)插件介绍(二)配置项(三)实例三、elasticsearch (output plugins)(一)插件介绍(二)配置项(三)实例四、TCP (input plugins)(一)插件介绍(二)配置项(三) 实例五、在线工具六、参考 一、File(Input plugins) (一)插件介绍 从文件中流式传输事件,通常通过以类似于tail -0F但可选地从头读取它们的方式拖
logstash grok
10-02
Grok是一种流行的日志解析语言,可以用于在Logstash或者Ingest Pipeline中解析日志数据。你可以使用Grok插件来解析日志数据,并将其转换为结构化格式,以便更好地进行日志管理和分析。通过定义自定义的Grok模式,你可以匹配和提取日志中的特定字段,将它们存储到指定的字段中。 要在Logstash中使用Grok模式,你需要执行以下步骤: 1. 在Logstash配置文件中,添加一个input模块来读取日志数据源。 2. 在filter模块中使用grok插件,并定义你的自定义Grok模式。 3. 配置output模块来指定解析后的日志数据的目的地。 在Ingest Pipeline中使用Grok模式也类似,你可以在Pipeline的Grok处理器中定义自定义的Grok模式,并将其应用于输入的日志数据。通过定义适当的处理器和管道,你可以将解析后的日志数据发送到指定的目标。 在Logstash和Ingest Pipeline中使用Grok模式,可以帮助你快速准确地解析和处理日志数据,提取出你所需的字段。这可以帮助你更好地理解和分析日志,从而支持更好的日志管理和故障排查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值