Logstash学习4_Logstash如何将操作日志中的字符串类型的时间转化成@timestamp

最新推荐文章于 2024-09-06 23:54:22 发布
最新推荐文章于 2024-09-06 23:54:22 发布
阅读量1.5w 收藏 1
点赞数
分类专栏: Logstash 转载 文章标签: logstash 正则表达式

问题描述

将类似于:2015/8/26 12:05:00:000000

的数据转化成:2015-08-26T04:05:00.000Z

背景

目标:

将操做日志中的字符串类型的时间格式转化成@timestamp


方法:

首先由于日志的格式有很多种,Logstash自带的正则表达式可能不满足我们的需求,但是我们可以通过grok插件引入自己定义的正则表达式。


具体步骤:

在Logstash的安装目录下/home/hadoop1/bms/logstash-1.5.4/conf下创建patterns目录;

并在该目录下(/home/hadoop1/bms/logstash-1.5.4/conf/patterns)创建mypattern文件,在文件内写好自己需要的正则表达式;

在本实验中我只想将字符串类型的时间转化成@timestamp,所以我写的正则表达式如下:

MYPATTERN (?>\d\d){2,2}\-(?:0?[1-9]|1[0-2])\-(?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])\s(0\d{1}|1\d{1}|2[0-3]):[0-5]\d{1}:([0-5]\d{1}):([0-9]{6})


注意:

该这则表达式,不一定是最好的,但是基本满足我自己的需求。我的时间串大概是:2015-12-12 12:12:12:000000


Logstash的配置文件

[java]  view plain copy print ?
  1. input{  
  2.    file{  
  3.      path => "/home/hadoop1/bms/mylog/http.log"  
  4.      start_position => "beginning"  
  5.    }  
  6. }  
  7.   
  8. filter{  
  9.   
  10.   grok{  
  11.   
  12.      patterns_dir => "./patterns"  
  13.      match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},%{MYPATTERN:create_Time}"]}  
  14.   }  
  15.   date {  
  16.      match => [ "create_Time""yyyy-MM-dd HH:mm:ss:ssssss" ]  
  17.      target => "@timestamp"  
  18.      add_tag => [ "tmatch" ]  
  19.   }  
  20.   
  21.   mutate {  
  22.   
  23.       convert => { "dest_Port" => "integer" }  
  24.       convert => { "source_Port" => "integer" }  
  25.    }  
  26. }  
  27.   
  28. output {  
  29.      elasticsearch {  
  30.   
  31.        host => "localhost"  
  32.     }  
  33. }  
  34. ~    

备注:只有“~”和下面不太一样。


注意:

%{MYPATTERN:create_Time}中的MYPATTERN就是我自己定义的匹配我的时间串的正则表达式的名字。 


<strong><span style="font-size:24px;">启动logstash集群,启动的命令是:

../bin/logstash agent -f kafkaInput_esOutPut3.conf </span></strong> 


<strong><span style="font-size:24px;">模拟数据发送,发送命令: 

echo 1.1.1.1,23,2.2.2.2,223,2015-03-03 12:12:12:000000>> /home/hadoop1/bms/mylog/http.log </span></strong> 


测试结果如下:

[java]  view plain copy print ?
  1. [hadoop1@slave2 conf]$ curl 'localhost:9200/logstash-2015.03.03/_search?pretty'  
  2. {  
  3.   "took" : 3,  
  4.   "timed_out" : false,  
  5.   "_shards" : {  
  6.     "total" : 5,  
  7.     "successful" : 5,  
  8.     "failed" : 0  
  9.   },  
  10.   "hits" : {  
  11.     "total" : 1,  
  12.     "max_score" : 1.0,  
  13.     "hits" : [ {  
  14.       "_index" : "logstash-2015.03.03",  
  15.       "_type" : "logs",  
  16.       "_id" : "AVDNDMeAlr_lum5SU6ix",  
  17.       "_score" : 1.0,  
  18.       "_source":{"message":"1.1.1.1,23,2.2.2.2,223,2015-03-03 12:12:12:000000","@version":"1","@timestamp":"2015-03-03T04:12:00.000Z","host":"slave2","path":"/home/hadoop1/bms/mylog/http.log","source_Ip":"1.1.1.1","source_Port":23,"dest_Ip":"2.2.2.2","dest_Port":223,"create_Time":"2015-03-03 12:12:12:000000","tags":["tmatch"]}  
  19.     } ]  
  20.   }  
  21. }  


存储到指定的field中

在上面的描述中,我是将我的字符中的时间类型赋值给了@timestamp,但是有些时候是需要保留该字段的额真实值的,所以完全可以进行下面的配置将自己转化过来的时间存储到指定的field中,配置如下:

[java]  view plain copy print ?
  1. input{  
  2.    file{  
  3.      path => "/home/hadoop1/bms/mylog/http.log"  
  4.      start_position => "beginning"  
  5.    }  
  6. }  
  7.   
  8. filter{  
  9.   
  10.   grok{  
  11.   
  12.      patterns_dir => "./patterns"  
  13.      match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},%{MYPATTERN:create_Time}"]}  
  14.   }  
  15.   date {  
  16.      match => [ "create_Time""yyyy-MM-dd HH:mm:ss:ssssss" ]  
  17.      target => "begin_Time"  
  18.      add_tag => [ "tmatch" ]  
  19.   }  
  20.   
  21.   mutate {  
  22.   
  23.       convert => { "dest_Port" => "integer" }  
  24.       convert => { "source_Port" => "integer" }  
  25.    }  
  26. }  
  27.   
  28. output {  
  29.      elasticsearch {  
  30.   
  31.        host => "localhost"  
  32.     }  
  33. }  

经过上面的配置,我将转化过来的时间类型存储在了begin_Time字段里面,实验结果如下:

[java]  view plain copy print ?
  1. [hadoop1@slave2 conf]$ curl 'localhost:9200/logstash-2015.11.03/_search?pretty'  
  2. {  
  3.   "took" : 5,  
  4.   "timed_out" : false,  
  5.   "_shards" : {  
  6.     "total" : 5,  
  7.     "successful" : 5,  
  8.     "failed" : 0  
  9.   },  
  10.   "hits" : {  
  11.     "total" : 1,  
  12.     "max_score" : 1.0,  
  13.     "hits" : [ {  
  14.       "_index" : "logstash-2015.11.03",  
  15.       "_type" : "logs",  
  16.       "_id" : "AVDNIYwTGyEV_57_F995",  
  17.       "_score" : 1.0,  
  18.       "_source":{"message":"1.1.1.1,23,2.2.2.2,223,2015-03-03 12:12:12:000000","@version":"1","@timestamp":"2015-11-03T11:35:38.945Z","host":"slave2","path":"/home/hadoop1/bms/mylog/http.log","source_Ip":"1.1.1.1","source_Port":23,"dest_Ip":"2.2.2.2","dest_Port":223,"create_Time":"2015-03-03 12:12:12:000000","begin_Time":"2015-03-03T04:12:00.000Z","tags":["tmatch"]}  
  19.     } ]  
  20.   }  
  21. }  

原文来自:

http://blog.csdn.net/xuguokun1986/article/details/49620579

http://blog.csdn.net/xuguokun1986/article/details/49620797




Wang_Zhenwei
关注
专栏目录
最新版linux logstash-7.13.4-linux-x86_64.tar.gz
07-22
例如,上述配置使用的`file`输入插件用于读取日志文件,`grok`过滤器用于解析日志格式,而`elasticsearch`输出插件则将处理后数据推送到Elasticsearch存储。 7. **性能优化**: 考虑到性能,可以调整Logstash的...
logstash Stringdata,@timestamp化为东八区时间
qq_35233282的博客
01-18 837
当你传过来一个时间类型字符串时,可以用这个方式 date{ match => [ "timestamp", "yyyy-MM-dd HH:mm:ss"] } 下面这个可以把这个字符串赋值给linux自动生成的@timestamp化为东八区时间 ruby{ code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60); e...
Elastic实战:logstash将kafka数据同步到es时,如何将字符串时间字段换为时间
55555的博客
01-20 2796
0. 引言 今天群里有同学问如何将字符串型的时间字段换为long类型时间戳。特记录下供后续参考。 原问题: 我接收数据方传过来的数据,其有个时间类型字符串类型,格式为:yyyy-MM-dd hh:mm:ss,我需要时间戳保存,我按照网上的方法试了好多种都无法成功换。 数据方把数据发到kafka,我用logstash读kafka,经过处理存到es 1. 思路 看到这个问题,首先的反映过来的是这是一个数据入库前的处理需求,所以很明显我们可以借助es的pipeline来解决这个问题。 但核心的问
logstash日志收集时间问题解决
最新发布
算法小生
09-06 166
目标存储格式如下,方便阅读与ES查询,可直接按同格式字符串日期范围查询。
logstash 各种时间
weixin_30632089的博客
09-21 519
<pre name="code" class="html">日期格式换: /***** nginx 访问日志 [elk@zjtest7-frontend config]$ cat stdin02.conf input { stdin { } } filter { grok { match => ["message", "%{I...
elk之logstash日志字符串类型时间转化成@timestamp
qq_25934401的博客
04-24 2456
默认情况下@timestamp字段显示的是写入es集群数据的时间,但我们可能需要记录的是日志字符串类型时间(也就是打印日志里记录的时间),所以我们需要把日志字符串类型时间覆盖掉@timestamp的当前时间。这样就可以实现es数据里的日志和程序存储在本地文件的时间一致,排查问题和分析问题也更加方便,就和在服务器上查看日志一样。 先附上全部的配置 input { kafka { ...
logstash时间@timestamp化为时间
Jepson的博客
10-22 2590
logstash将@timestamp化为时间戳 在 logstash.conf 配置文件的 filter 模块添加以下代码: ruby{ code => "event.set('unix_ms_time',(event.get('@timestamp').to_f.round(3)*1000).to_i)" #毫秒时间戳 } 上述配置后,会在日志增加一个新的字段,字段名为 unix_ms_time,该字段为毫秒时间戳,如果想改成秒时间戳,需以下代码: ruby{ co
基于logstash实现日志文件同步elasticsearch
09-16
本文将详细介绍如何利用Logstash来实现日志文件的实时增量同步到Elasticsearch,并通过实际案例来展示整个过程。 #### 目标 本文的目标是将本地磁盘存储的日志文件通过Logstash同步到Elasticsearch,实现全量...
SpringBoot继承LogStash实现日志收集的方法示例
08-26
SpringBoot 继承 LogStash 实现日志收集的方法示例 本文主要介绍了 SpringBoot 继承 LogStash 实现日志收集的方法示例,旨在帮助开发者快速了解 LogStash 的配置和使用方法。 一、环境准备 在开始之前,需要安装 ...
logstash-7.17.5-windows-x86_64.zip
07-13
Logstash 是一个强大的开源数据收集、处理和发引擎,由 Elastic 公司开发,广泛应用于日志管理和实时数据管道建设。这个压缩包“logstash-7.17.5-windows-x86_64.zip”包含了 Logstash 的 Windows 64 位版本,允许...
Java_Logstash传输和处理日志、事件或其他数据.zip
05-22
Java和Logstash是两种在IT领域用于管理和分析日志数据的重要工具。Logstash是由 Elastic 公司开发的一款数据收集引擎,它能够实时地从各种数据源采集数据,然后进行过滤、换,并将处理后的数据输出到各种目的地...
Logstash日志产生时间替换@timestamp
零度的博客专栏
07-02 1万+
一、跟着官网学习一下date插件      日期过滤器用于从字段解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动没有找到正确的日期,那么稍后搜索它们可能会排序错...
Logstash核心配置详解: 面对繁杂的Logstash配置,这份文档一定能让您少走弯路
AI天才研究院
09-19 6617
本文将详细解读并逐步配置Logstash核心组件,从而保障日志数据采集、清洗、加工、分析的完整链路。由于业务需求的不断变化和复杂性的增加,日志采集、清洗、处理成为企业运维效率最耗时的环节之一。很多企业为了解决这个痛点,都选择了开源日志收集工具如Elastic Stack,其灵活高效的架构可以满足各个公司不同场景下的日志采集、存储、查询需求。在配置Logstash时,要注意它的核心组件配置,其的pipeline模块非常重要,其次还有input、filter、output三部分构成。
logstash毫秒时间日期以及使用业务日志时间戳替换原始@timestamp
发现问题,面对问题,分析问题,解决问题,总结问题
02-11 2575
详细观察内部数据发现其日志数据有一个timestamp字段保存的是业务日志的毫秒级时间戳,经过和@timestamp数据对比发现二者的时间不匹配。经过分析得知@timestamp是按照logstash插入es数据的时间来排序,而且数据是按照批次来的,每一批次的时间可能都是大径相同,结果就是导致上面描述的一系列问题。
logstash如何将日志字符串类型时间转化成@timestamp
热门推荐
桃花惜春风
09-13 3万+
在ELK组合我们在outputs/elasticsearch常用的%{+YYYY.MM.dd}来创建索引,而这种写法是必须要读@timestamp这个字段的。默认情况下@timestamp字段显示的是当前时间,但我们可能需要记录的是日志字符串类型时间,所以我们需要把日志字符串类型时间覆盖掉@timestamp的当前时间。 创建配置文件 code.conf input {
logstash时间
小龙在线
12-11 2万+
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。
logstash 处理各种时间格式
weixin_30767835的博客
10-22 1169
tomcat access日志: { "@version" => "1", "@timestamp" => "2016-10-22T12:58:07.000Z", "path" => "/data01/applog_backup/zjzc_log/zj-api-access01.2016-10-2...
Logstash 时间换(YYYY-MM-dd HH:mm:ssUnix时间
勿忘初心
03-31 8419
适用场景 - 日志时间Unix时间 示例日志:2017-03-21 00:00:00,291 INFO [DubboServerHandler-10.135.6.53:20885-thread-98] i.w.w.r.m.RequirementManager [RequirementManager.java:860] fetch no data from oracle 2017-03-21
logstash @timestamp时间时区的问题
05-24
Logstash,@timestamp字段默认情况下是UTC时间,但可以使用date过滤器来将其换为本地时区。 以下是一个示例配置文件,其使用date过滤器将@timestamp换为美国洛杉矶时区: ``` input { # 输入数据源 } ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值