logstash+grok+json+elasticsearch解析复杂日志数据(一)

最新推荐文章于 2024-07-30 19:43:15 发布
最新推荐文章于 2024-07-30 19:43:15 发布
阅读量2.7w 收藏 22
点赞数 2
分类专栏: ELK Stack 文章标签: logstash grok json 日志解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014297722/article/details/52823964
版权
本文介绍了如何利用logstash的grok和json插件解析包含复杂json的日志数据,并将结果存储到elasticsearch。讨论了如何处理嵌套数据、list和数据类型转换,以及在elasticsearch和kibana中查看解析后的数据。
摘要由CSDN通过智能技术生成

       这几天学习了logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤器插件,输出插件等等,甚至还有许多美未能进入官方的插件就不再一一赘述了。

     我这几天主要接触了grok,json格式插件,还有一些input,output一些配置参数的熟悉等等。待处理的日志数据有两部分组成:一部分是原本工程师添加的时间戳、ip、出错类型,另一部分是较为复杂包含嵌套,list等等的json数据,es api上面有关于嵌套类型的解决办法,比如重改mapping,将对应字段的type设置为"nested",我也是在这个博客上学习的:

       Elasticsearch之Nested(嵌套)系列


     对了,es是基于lucene框架的,本身是会嵌套数据平坦化的,没办法改,只能改索引,将nested作为一个新的隐藏索引。

      1.至于如何内部直接解析json(比如json数据中的嵌套,数据list,将这些内容单独出来作为字段),这些我还没找到太好的办法,估计只能在代码段(开发阶段进行数据分析吧),我目前还是没找到太好的办法。

       2.这几天我又遇到json解析,好气,非得改json内部数据的格式,将string=>float,只能硬上正则了,还好json格式固定,不太长。

       正则将其内部数据作为单独的字段显示出来,就能mutate随意操纵了,嘿嘿

数据:

2016-12-05 15:19:52  [ http-nio-1560-exec-

最低0.47元/天 解锁文章
cuixuange
关注
专栏目录
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 894
ELK 不是一款软件,而是 ElasticsearchLogstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
logstash+grok+json+elasticsearch解析复杂日志数据(二)
cuixuange的博客
10-19 9227
接着上面一篇来说,这篇主要介绍logstash处理实时数据问题,日志数据更新时,logstash处理方式是默认每15s检查一次文件夹,每5秒检查一次文件,这些参数可以改变的。遇到当处理较多批次数据时,logstash出现卡死状态的原因,我目前猜测是输入文件较多logstash处理很快,而输出插件input elasticsearch这个插件线程限制,导致的死锁问题,后面详细说。最后展示一下ki
logstashgrok过滤
热门推荐
yanggd1987的专栏
01-11 2万+
简介  前面我们的nginx日志编码使用的jsonlogstash直接输入预定义好的 JSON 数据,这样就可以省略掉 filter/grok 配置,但是在我们的生产环境中,日志格式往往使用的是普通的格式,因此就不得不使用logstash的filter/grok进行过滤,下面我们就来讲下如何配置。配置1.nginx日志格式 为了帮助我们有效的理解grok的正则表达式,因此在这我们将日志格式定义的
logstash取事件(jsong或json数组消息)内容字段方式
最新发布
hh916701843的博客
07-30 105
logstash采集数据取字段属性
logstash之嵌套复杂json解析及扁平化处理
浪荡江湖的博客
04-28 6797
近期公司有一个需求是使用logstash复杂的嵌套json扁平化(将原来的多层json映射成单层json,其中的key通过下划线'_'连接),并写入s3。据我以往的经验我推测应该有两种方案可行,其中方案一代码简单,但缺点很多,方案二简单高效,但网上没有现成的,我以往也没有使用过,通过google也只google到event.to_hash这个稍微有用的方法,这也是我分享的原因,望对有类似需求的朋...
logstash的安装与使用(读取嵌套json平级格式,grok语法与正则使用,双线程处理,导入elasticsearch
weixin_42487460的博客
05-26 1340
logstash的安装与使用一、简介与安装二、简单体验输入输出(配置字符串)修改输出格式为json格式三、读取配置文件输入输出读取文件中的内容(1)读取普通文本(2)读取json格式内容(3)多层嵌套json平级格式四、grok语法与正则的使用五、双线程处理 一、简介与安装 logstash的作用:日志收集 如何工作: 输入(input):必须,如stdin、file、http、exec… 过滤器(filter):可选,如grok、mutate… 输出(output):必须,如stdout、elastic
ELKF日志学习(十)Logstash解析日志json
IMJCW的博客
01-08 943
前言 之前大致说了一下 Logstash 的能力。 关于输入输出并不多做介绍了,这里主要讲解一下日志解析部分。 代码仓库 talk-lucky/elkf-study Grok 原理很简单,就是 正则。 这里有个非常实用的网站 Grok Debugger,可以帮助我们验证调试解日志的正则。(可能需要自备梯子) 官方有一部分预定义 grok 的表达式,可以参考,我们也可以编写一些预定义的表达式供后续使用。 Kibana 也提供了相应的工具,只不过没那么好用罢了。 示例 比如,有这么一段日志(nginx/acce
logstash解析嵌套json格式数据
u011311291的博客
02-01 1万+
现有json: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 将其解析为: { "name":"zhangs
logstash的安装以及各种数据情况的处理方法+解析嵌套json格式数据详解
Clozzz的博客
05-25 1198
json语句: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 预期的解析格式: { "name":"zhangsan", "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } logstash配置文件写法: input { stdin {
elasticsearch+logstash+kafka配置说明
pt574610023的博客
11-30 1185
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。本文档简述ElasticSearch配合kafka单机部署的一个环境,以及j...
FileBeat+Elasticsearch+Logstash+Kibana日志收集分析系统搭建
canthny的专栏
08-15 1884
准备阶段 6.0以上版本需要jdk1.8,自行安装 wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.0.0-linux-x86_64.tar.gz wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.0.0...
Logstash处理json根式日志文档的三种方式
为一个人走几座城
05-19 1998
假设日志文件中的每一行记录格式为json的,如:{"Method":"JSAPI.JSTicket","Message":"JSTicket:kgt8ON7yVITDhtdwci0qeZg4L-Dj1O5WF42Nog47n_0aGF4WPJDIF2UA9MeS8GzLe6MPjyp2WlzvsL0nlvkohw","CreateTime":"2015/10/13 9:39:59",&am
logstash解析json对象
weixin_45583482的博客
03-11 3015
"fields" => { "tenant_id" => -1, "project" => "bss3", "app_name" => "ilog_default_application", "projectName" => "test", "project_id" => 561959, "messagetopic" => "logstash
grokJSON 检测
my_bai的博客
06-22 1990
https://github.com/qiniu/logkit/wiki/Grok-Parser    #grok 格式检测 https://github.com/qiniu/logkit/wiki/Grok-Parser   #json 格式检测
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8678
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
logstash 日志解析配置详解
深圳市多克创新科技有限公司
03-24 2132
logstash 日志解析配置详解
SpringBoot项目日志输出为JSON格式,方便Elastic采集
北亮的专栏
01-19 1515
这段时间,使用K8S部署项目,同时使用Elastic采集日志并提供给开发检索,使用过程中,经常出现换行日志无法完整采集和展示的问题。 比如抛出的Exception会有换行,被ES采集后,变成多条日志,极其不方便检索和排错。 经运维提示,并参考 https://groups.google.com/g/fluent-bit/c/XoOibAxGGeI 改用json输出项目日志,本地调试依然使用旧日志格式。 注:本文基于: spring-boot-starter:2.4.11 或 spring-boot-star
logstash grok解析
幸福在路上
01-24 1万+
在《本地搭建ELK系统》中,在本地搭建了一个非常简单的ELK系统。其中logstash从本地日志文件中读取信息并交给elasticsearch。然而直接把原始未加工的日志交给elasticsearch没有什么意义。logstash还有一个重要的工作就是解析日志。把解析出来的关键字与日志本身共同交给elasticsearchelasticsearch才能很好地建立日志索引。logstash支持多种解
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值