elk笔记4--grok正则解析

已于 2022-05-19 00:08:34 修改
阅读量1.4k 收藏 7
点赞数 1
分类专栏: Bigdata 文章标签: grok解析 正则 elk
于 2020-05-04 23:23:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011127242/article/details/105925567
版权

elk笔记4--grok正则解析

1 grok 切分方法

grok切分规则可按照如下思路进行。
1)找准切分标志,以切分标志作为中心向左或者向右逐个字段抽出,对于正则中的通配符需要进行转义处理,否则这类字符作为分割标志的时候容易解析出错
2)也可以直接从左到右逐个字段取出

2 grok 切分案例

  1. 案例1内容:

    2016/04/27 12:22:50 OSPF: AdjChg: Nbr 220.220.220.220 on g-or2-a0bjt:10.61.61.61: Init -> Deleted (InactivityTimer)

    正则:

    %{DATA:timestamp} OSPF: %{DATA:type}: Nbr %{DATA:neighborip} on %{DATA:interface}:%{DATA:ip}: %{DATA:srcstat} -> %{GREEDYDATA:data}

    注意: OSPF前面需要有空格,否则会导致空格到timestamp中;on前面需要空格,否则会导致解析失败
    结果:

    {
  "data": "Deleted (InactivityTimer)",
  "neighborip": "220.220.220.220",
  "srcstat": "Init",
  "ip": "10.61.61.61",
  "type": "AdjChg",
  "interface": "g-or2-a0bjt",
  "timestamp": "2016/04/27 12:22:50"
}

  2. 案例2
    内容:

    [Jul 11 10:22:59][123.123.123.123]<14>[2016-07-11 10:22:59,591][client.log][INFO]bak found in cache, skip it, test_data_2035_20160711_0500

    正则1:

    \[%{DATA:head}]\[%{DATA:clientip}]<%{NUMBER:pid}>\[%{GREEDYDATA:ts}]\[%{DATA:logtype}]\[%{LOGLEVEL:level}]%{GREEDYDATA:data}

    注意:[需要进行转义
    结果:

    {
  "head": "Jul 11 10:22:59",
  "logtype": "client.log",
  "data": "bak found in cache, skip it, test_data_2035_20160711_0500",
  "level": "INFO",
  "clientip": "123.123.123.123",
  "pid": "14",
  "ts": "2016-07-11 10:22:59,591"
}

    正则2:去掉多余一个时间

    \[%{DATA:head}]\[%{DATA:clientip}]<%{NUMBER:pid}>\[2016-07-11 10:22:59,591]\[%{DATA:logtype}]\[%{LOGLEVEL:level}]%{GREEDYDATA:data}
或者
\[%{DATA:head}]\[%{DATA:clientip}]<%{NUMBER:pid}>\[.*]\[%{DATA:logtype}]\[%{LOGLEVEL:level}]%{GREEDYDATA:data}

    结果:

    {
  "head": "Jul 11 10:22:59",
  "logtype": "client.log",
  "data": "bak found in cache, skip it, test_data_2035_20160711_0500",
  "level": "INFO",
  "clientip": "123.123.123.123",
  "pid": "14"
}

  3. 案例3 解析syslog 日志
    内容:

    Apr 19 12:56:07 xg dbus-daemon[1537]: [session uid=1000 pid=1537] Successfully activated service 'org.freedesktop.Tracker1'

    正则:

    %{GREEDYDATA:timestamp} %{DATA:user} %{DATA:app}\[%{NUMBER:pid}]: %{GREEDYDATA:content}

    注意: 此处可以根[ 或者 ] 确定字段的相关关系,然后逐渐向前取,最前面时间直接使用GREEDYDATA匹配即可
    结果:

    {
  "app": "dbus-daemon",
  "pid": "1537",
  "user": "xg",
  "content": "[session uid=1000 pid=1537] Successfully activated service 'org.freedesktop.Tracker1'",
  "timestamp": "Apr 19 12:56:07"
}

  4. 案例4 解析nginx 日志
    内容:

    120.123.123.123 - - [19/Apr/2020:10:40:59 +0800] "GET /hello HTTP/1.1" 404 200 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36"

    正则:

    %{IP:server_name} %{DATA:holder1} %{DATA:remote_user} \[%{DATA:localtime}] "%{DATA:request}" %{NUMBER:req_status} %{NUMBER:upstream_status} "%{DATA:holder2}" %{GREEDYDATA:agent}

    结果:

    {
  "localtime": "19/Apr/2020:10:40:59 +0800",
  "server_name": "120.123.123.123",
  "request": "GET /hello HTTP/1.1",
  "agent": "\"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.92 Safari/537.36\"",
  "req_status": "404",
  "remote_user": "-",
  "upstream_status": "200",
  "holder2": "-",
  "holder1": "-"
}

  5. 案例5
    内容:

    \[%{DATA:ts}]\[%{DATA:ns}]\[%{DATA:env}]\[%{DATA:logstash_level}]\[%{DATA:service}]\[%{DATA:filename}:%{NUMBER:lineno}]%{GREEDYDATA:msg}

    正则:

    \[%{DATA:ts}]\[%{DATA:ns}]\[%{DATA:env}]\[%{DATA:logstash_level}]\[%{DATA:service}]\[%{DATA:filename}:%{NUMBER:lineno}]%{GREEDYDATA:msg}

    结果:

    {
  "msg": "{'keyword': '', 'pageNo': '1'}",
  "filename": "search.py",
  "lineno": "29",
  "ns": "audio-mgr",
  "service": "apiserver",
  "env": "production",
  "ts": "2020-04-29 21:37:54",
  "logstash_level": "    INFO"
}

  6. 案例6
    内容:

    2021-01-12T17:38:53.800474Z stdout F 2021-01-12 17:38:53,800 INFO: [Log.py:50] [MainProcess:20 MainThread] - init logger

    正则:

    %{DATA:timestamp} %{DATA:stdtype} F %{DATA:dt2} %{DATA:time2} %{DATA:loglevel}\: \[%{DATA:file}] \[%{DATA:function}] - %{GREEDYDATA:msg}

    结果:

    {
  "msg": "init logger",
  "time2": "17:38:53,800",
  "dt2": "2021-01-12",
  "file": "Log.py:50",
  "loglevel": "INFO",
  "function": "MainProcess:20 MainThread",
  "stdtype": "stdout",
  "timestamp": "2021-01-12T17:38:53.800474Z"
}

  7. 案例7-解析ingress 日志
    本案例解析ingress 的日志,案例中字段参考案例晕 sls 中日志解析字段
    内容:

    192.168.2.12 - - [18/May/2022:12:44:01 +0000] "GET /public/fonts/roboto/vPcynSL0qHq_6dX7lKVByfesZW2xOQ-xsNqO47m55DA.woff2 HTTP/1.1" 304 0 "http://grafana.xg.com:30080/public/build/grafana.dark.b208037f6b1954dc031d.css" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36" 569 0.000 [lens-metrics-grafana-svc-80] [] 10.224.25.187:3000 0 0.000 304 7f2d304f864b63c6cd969cdde507b899

    正则:

    %{IP:upstream_addr} %{DATA:http_referer} %{DATA:remote_user} \[%{DATA:time}] "%{DATA:method} %{DATA:url} %{DATA:version}" %{NUMBER:status} %{NUMBER:request_length} "http://%{DATA:host}/%{DATA:path}" %{GREEDYDATA:agent} %{NUMBER:request_length} %{NUMBER:request_time} \[%{DATA:proxy_upstream_name}] \[] %{DATA:upstream_addr} %{NUMBER:upstream_response_length} %{NUMBER:upstream_response_time} %{NUMBER:upstream_status} %{GREEDYDATA:req_id}

    结果:

    {
  "agent": "\"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.84 Safari/537.36\"",
  "method": "GET",
  "upstream_addr": "10.224.25.187:3000",
  "upstream_response_length": "0",
  "version": "HTTP/1.1",
  "url": "/public/fonts/roboto/vPcynSL0qHq_6dX7lKVByfesZW2xOQ-xsNqO47m55DA.woff2",
  "remote_user": "-",
  "req_id": "7f2d304f864b63c6cd969cdde507b899",
  "path": "public/build/grafana.dark.b208037f6b1954dc031d.css",
  "upstream_status": "304",
  "request_time": "0.000",
  "request_length": "0",
  "http_referer": "-",
  "host": "grafana.xg.com:30080",
  "proxy_upstream_name": "lens-metrics-grafana-svc-80",
  "upstream_response_time": "0.000",
  "time": "18/May/2022:12:44:01 +0000",
  "status": "304"
}

3 说明

参考文档:
grok-patterns
filter-grok-index

昕光xg
关注
专栏目录
ELK安装配置学习笔记
glisten0317的博客
08-30 1153
ELK(filebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
ELK 日志系统
墨鱼菜鸡
07-11 408
Elastic 官方文档:https://www.elastic.co/guide/index.html elasticsearch github:https://github.com/elastic/elasticsearch logstash github:https://github.com/elastic/logstash kibana git...
ELK grok规则分析
友人A的博客
01-19 3617
前提: ELK服务器已经部署:ELK7.5 需求: 需要采集路由器NAT访问记录,查看被远程访问的次数 一、路由器 1、开启NAT日志功能 <MSR56> system-view [MSR56] nat log enable 2、开启NAT新建、删除会话和活跃流的日志功能 #根据需求选择开启,这里为了减少日志输出没有开启删除会话记录 [MSR56] nat log flow-begin [MSR56] nat log flow-active 10 3、配置Flow.
Graylog之Grok解析
这有一片海的博客
12-24 1231
通常情况下,原始日志被采集上来之后,需要通过编写正则进行日志字段的解析,以便用来进行日志分析,看板的制作。
Grok:深入解析日志与数据的强大工具
Songxianshengbei的博客
03-19 652
随着日志数据的不断增长和复杂性的提升,Logstash团队意识到需要一个更加强大和灵活的解析引擎来处理这些日志,于是Grok应运而生。通过定义一系列的模式(patterns),Grok能够匹配和解析各种格式的日志数据,提取出有用的信息并以结构化的方式呈现出来。而Grok,作为一款强大的日志解析和数据提取工具,为我们提供了一种高效、灵活的方式来处理这些海量的信息。更加强大的解析能力:随着日志数据的不断增长和复杂性的提升,Grok需要不断增强其解析能力以应对各种复杂的日志格式和数据类型。
ELK--grok正则分析日志与多日志收集
bawei5098的博客
08-30 448
一、收集nginx日志logstash配置文件访问nginx,产生新的日志查找索引有一条logstash-2019-08-28的索引二、grok日志切割日志格式192.168.0.2 - - [28/Aug/2019:22:35:03 +0800] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; WOW6...
java grok 提取日志_ELK使用Grok解析日志
weixin_36218360的博客
02-16 762
一、简介Grok是迄今为止使蹩脚的、无结构的日志结构化和可查询的最好方式。Grok解析 syslog logs、apache and other webserver logs、mysql logs等任意格式的文件上表现完美。二、入门例子下面是一条tomcat日志:83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/l...
ELK 7.5.0(五)Logstash正则分析提取日志,优化日志记录
友人A的博客
07-14 988
一、实验环境 主机名 IP es 192.168.14.210 kibana 192.168.14.210 logstash 192.168.14.211 nginx 192.168.14.211 优化说明: 删除字段是为了减少es的数据库大小 提取添加字段是为了kibana更加明确的展示,也有助于创建可视化视图提供依据。 二、Nginx编译...
ELK分布式日志收集-企业级日志中心
leafseelight的专栏
08-05 1192
传统项目中,如果需要在生产环境定位异常的话,我们常常需要在服务器上使用命令的方式查询。而很多情况我们需要用到微服务架构或集群架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是绝渡逢舟,必定能够提高我们排查线上问题的效率。本文我们就来一起学习下开源的实时日志分析平台 ELK 的搭建及使用。 〓ELK 简介 ELK 是一个开源的实时日志分析平台,它主要由 Elasticsearch、Logstash 和 Kibana 三部.
ganglia离线安装_ELK学习笔记之logstash安装logstash-filter-multiline(在线离线安装)
weixin_33362939的博客
12-23 484
0x00 概述ELK-logstash在搬运日志的时候会出现多行日志,普通的搬运会造成保存到ES中单条单条,很丑,而且不方便读取,logstash-filter-multiline可以解决该问题普通日志如下:记录到es会的记录则是:我们希望的结果肯定是这样的0x01 原生安装# /usr/share/logstash/bin/logstash-plugin install logstash-fil...
Logstash:日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3264
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
grok正则解析mysql slowlog
qq_37256882的博客
12-28 718
mysql的slowlog通过filebeat处理,合并为一行以后,格式还是比较复杂的,通过百度可以网上查到一些grok表达式,但有的可用,有的不可用,也没有对此进行解析,比较难看懂。处理也比较简单,因为最后肯定是sql语句,所以使用了GREEDYDATA这个表达式,匹配所有字符。因为标准的grok正则表达式是不能匹配换行符的,如果有换行符,必须要单独做处理。我们把第一行和第二行的表达式合并起来发现是报错的,为什么呢?后面的IP,NUMBER均为预定义表达式,比较好理解。首先解析第一行,对应的表达式为。
Grok解析 centos 的 nginx 原生格式日志
hhhzua的专栏
02-04 554
centos系统的nginx原生格式如下: 112.95.209.146 - - [13/Jun/2019:09:32:50 +0800] "GET /css/web.css HTTP/1.1" 200 27518 "http://www.hezehua.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, li...
使用grok解析日志文件
gkkljy的博客
03-04 1009
try { File file = new File("C:\\Users\\Administrator\\Desktop\\220301.log") ; //创建对象集合,存储需要解析保存的字段 ArrayList<LogAnalysis> list = new ArrayList<>(); //构造一个BufferedReader类来读取文件 BufferedR
日志解析神器——Logstash中的Grok过滤器使用详解
铭毅天下Elasticsearch
01-23 2328
0、引言在处理日志数据时,我们经常面临将非结构化文本转换为结构化数据的挑战。Logstash 作为一个强大的日志管理工具,提供了一个名为 Grok 的过滤器插件,专门用于解析复杂的文本数据。后文会解读,功能远不止于此......关于 Grok 过滤器插件,咱们之前有过两篇文章讲解:1、干货 | Logstash自定义正则表达式ETL实战2、干货 | Logstash Grok数据结构化ETL实战G...
java使用grok解析日志文件
我的博客
07-07 5781
在项目中会产生大量的日志以方便问题跟踪,有时需要统计分析系统运行期间的日志,例如:分析系统使用情况,使用人数,系统错误信息等等。根据不同的日志类别,生成可视化图表展示,所以就需要需要对日志进行处理,将每一行拆分成多个字段,存入数据库或者es,便于统计分析,生成报表。 由于之前没有接触过,网上通过搜集资料,找到使用logstash来分割反向代理的日志,由单个简单的正则组合,就能对一大段文字进行切割,惊叹与简单可配置。后来找到了java也可以通过Grok进行日志的统计分析,Grok进行日志处理的好处有:1:默
logstash的grok插件作为日志解析工具,如何自定义正则表达式来匹配字符
天草二十六
04-09 1390
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
Grok patterns
最新发布
Java_1710的博客
09-11 321
Grok patterns 是一种用于日志解析的工具,它允许用户从非结构化的日志数据中提取结构化信息。Grok 是 Logstash 等日志处理工具中的一个关键功能,它的灵感来源于 Unix 中的sedawk等文本处理工具,并且借鉴了正则表达式的匹配能力。
使用ELK构建MCS-51单片机安全数据平台
"利用ELK构建安全数据分析平台——以51单片机为例" 在当前数字化时代,数据安全与分析变得越来越重要。ELK(Elasticsearch、Logstash、Kibana)堆栈是构建高效日志管理和数据分析平台的流行选择。本文将重点介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昕光xg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值