ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch

最新推荐文章于 2022-03-30 23:37:41 发布
最新推荐文章于 2022-03-30 23:37:41 发布
阅读量1.7k 收藏 2
点赞数
文章标签: 大数据 ruby 数据库
原文链接:http://www.cnblogs.com/yulinlewis/p/10854424.html
版权

问题

有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下:

Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下:

{
    "message": "key_1=value_1;,;key_2=value_2"
}

现在想要将message的值拆分成2个新的字段:key_1、key_2,并且将它们index到ES里,可以借助Logstash的filter的插件来完成;这里提供两种解决方案。

方案一:使用mutate插件

filter {
    mutate {
        split => ["message",";,;"]
    }

    if [message][0] {
        mutate {                
            add_field =>   {
                "temp1" => "%{[message][0]}"
            }
        }
    }
    
    if [message][1] {
        mutate {                
            add_field =>   {
                "temp2" => "%{[message][1]}"
            }
        }
    }   

    if [temp1][1] {
        mutate {
            split => ["temp1","="]
            add_field =>   {
                "%{[temp1][0]}" => "%{[temp1][1]}"
            }
        }
    }
    
    if [temp2][1] {
        mutate {
            split => ["temp2","="]
            add_field =>   {
                "%{[temp2][0]}" => "%{[temp2][1]}"
            }
            remove_field => [ "temp1", "temp2", "message" ]
        }
    }
}

看得出来,这种做法很麻烦,也不利于日后的维护。每当message里被拼接的字段的数量增加时,就必须同步改动这里的filter逻辑,而且添加的代码量也是呈线性递增的。

此外,这里使用的诸如temp1等临时变量,可以用[@metadata][temp1]的写法来作为临时变量,这样就不需要去手动remove掉了。

方案二:使用ruby插件

filter {
    ruby {
        code => "
            array1 = event.get('message').split(';,;')
            array1.each do |temp1|
                if temp1.nil? then
                    next
                end
                array2 = temp1.split('=')
                key = array2[0]
                value = array2[1]
                if key.nil? then
                    next
                end
                event.set(key, value)
            end
        "
        remove_field => [ "message" ]
    }
}

ruby插件可以允许你使用ruby的语法来完成各种复杂的逻辑,使用这种方案可以完美解决方案一中的不足之处,便于日后的维护。

参考链接

转载于:https://www.cnblogs.com/yulinlewis/p/10854424.html

weixin_30402343
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash config filter 配置(grok、date、ruby):日志拆分转换并展示在kibana中
baidu_41614347的博客
10-27 1505
概要:ELK部署成功后,需要kibana图形展示某应用的性能。初步通过统计分析日志的形式来模拟。日志中有sendTime :消息发出时间,recvTime:处理完毕后打印的日志时间。通过logstash对日志进行拆分并计算recvTime和sendTime的差值即处理时间(本文标记为responseTime)。并将responseTime展示在kibana中 1、logstash配置文件 logstash的配置文件input是来自filebeat端口5044 (filebeat用于收集ou...
[log]logstash添加字段.geoip展示
毛台
09-17 6522
add_field配置文件input{ file{ add_field => {"testfield"=>"testfield"} path => ["/tmp/a.txt"] type => "a-txt" } }output{ if [type] == "a-txt"{ elasticsearch{
Logstash输出到Elasticsearch笔记
Ghost Stories
02-08 2万+
output配置中elasticsearch配置 action index 给一个文档建立索引 delete 通过id值删除一个文档(这个action需要指定一个id值) create 插入一条文档信息,如果这条文档信息在索引中已经存在,那么本次插入工作失败 update 通过id值更一个文档。更有个特殊的案例upsert,如果被更的文档还不存在,那么就会用到...
Logstash
weixin_43939924的博客
03-30 2215
https://www.elastic.co/guide/en/logstash/current/input-plugins.html 1、标准输入(Stdin) input{ stdin{ } } output { stdout{ codec=>rubydebug } } 2、读取文件(File) logstash使用一个名为filewatch的ruby gem库来监听文件变化,并通过一个叫.sincedb的数据库文件来记录被
logstash 字段引用
trigfj的博客
11-12 907
logstash 字段引用
ELKLogstash grok 预定义字段
欢迎来到Dangks的博客!
03-08 1161
Logstash grok 预定义字段,正则表达式解释与使用。 USERNAME;[a-zA-Z0-9._-]+;用户名,由数字、大小写及特殊字符 ._- 组成的字符串。INT;(?:[+-]?(?:[0-9]+)); 整数,包括0和正负整数。BASE10NUM;(?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)));十进制数字,包括整数和小数。
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
go-elk-stack:Elasticsearch-Logstash-Kibana-Golang
05-18
:french_fries: 这个简单的项目演示了Elasticsearch-Logstash-Kibina(ELK)与Golang的集成 去栈 没有Web框架,使用本机运行 DEP的包管理brew install dep 杜松子酒进行实时重加载, go get github....
elasticsearch.rpm-kibanarpm-logstash.rpm.docx
05-05
ELK (Elasticsearch, Logstash, Kibana) 是一套流行的数据收集、分析和可视化解决方案,常用于日志管理和监控。在这个场景中,我们关注的是ELK的特定版本,即6.2.4。 Elasticsearch 是一个分布式、RESTful风格的...
elk-docker:ElasticsearchLogstash,Kibana(ELK)Docker映像
04-30
ElasticsearchLogstash,Kibana(ELK)Docker映像 通过打包ElasticsearchLogstash和Kibana(统称为ELK),此Docker映像提供了一个方便的集中式日志服务器和日志管理Web界面。 文献资料 有关如何使用此映像的...
ansible-role-logstash转发器:已弃用Ansible角色-Logstash转发器
01-31
Logstash是一款强大的日志收集、处理和转发工具,它是ELKElasticsearchLogstash、Kibana)堆栈的重要组成部分,用于将各种来源的日志数据结构化并推送到Elasticsearch进行存储和分析。然而,随着技术的发展,...
logstash如何将kakfa合并的数据拆分然后写入ES
sxf_123456的博客
08-03 2179
kafka数据:{ {"cluster":"qy_api_v2_pool","body_bytes_sent":"8579","http_versioncode":"Android_32"}\n {"cluster":"qy_api_v2_pool","body_bytes_sent":"8579","http_versioncode":"Android_33"}\n {"cluster":
logstash截取指定字符和grok的使用
热门推荐
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
logstash学习——01
a123123sdf的博客
11-24 1413
一、专业术语介绍 (一)@metadata【重要】 用于存储您不想包含在输出事件中的内容的特殊字段。例如,该@metadata 字段可用于创建用于条件语句的临时字段。 例子: filter { mutate { add_field => { "show" => "This data will be in the output" } } mutate { add_field => { "[@metadata][test]" => "Hello" } } mutate { a
Logstash日志字段拆分grok
weixin_33790053的博客
04-24 4319
参考和测试网站:http://grokdebug.herokuapp.com 例如:test-39.dev.abc-inc.com Mon Apr 24 13:53:58 CST 2017 2017-04-16 23:37:44,282 [DEBUG] add service:com.abc.open.nlp.facade.NLPService 正则表达式过滤为:%{HOSTNAME:host...
五分钟带你玩转Elasticsearch(十七)企业实战——logstash拆分message
小鲍侃java
01-20 5675
楼主这有一个需求:搜索日志跟分为:接口名,入参,请求类型等字段返回 这里使用了grok /logstash/bin下的配置文件 DATA:为文字类型 不包含_,:等特殊符号 GREEDYDATA:为文字类型 可以包含_,:等符号 注意:如果时间类型 如2021-01-19 17:28:41匹配不到 ,需要更改为GREEDYDATA grok { match => {"message" => "\|%{DATA:userName}\|%{GREEDYDATA
Logstash的kafka插件使用
魂影魔宅
11-23 3376
前言关于logstash可以产看其 官网 ,对于英文有障碍的人士,或是想知道更多插件使用技巧的用户请移步 @三斗室 所著作 logstash最佳实战 ,本片内容已经并入其中相关章节. Logstash-kafka简介 https://github.com/joekiller/logstash-kafka插件已经正式合并进官方仓库,以下使用介绍基于 logstash 1.4相关版本 ,1.5
logstashlogstash使用自定义ruby脚本字段
shen12138的博客
05-14 1863
实现步骤: 添加ruby插件,捕获system字段值,赋值给app_type 如果app_type捕获为null,则手动赋值为空字符串,这里注意,null和空字符串不一样。如果不添加判断,logstash每次进入一个为null就会报错,可能会影响处理速率 使用length方法判断长度,字符串0和大于12的,手动赋值system 不满足12的补全到12位字符串,然后转换为objectid 脚本如下: #!/usr/local/logstash-7.9.3/bin/ruby def filter(even
logstash学习——02
a123123sdf的博客
11-24 1886
目录标题一、File(Input plugins)(一)插件介绍(二)配置项(三)实例二、Grok (filter plugins)(一)插件介绍(二)配置项(三)实例三、elasticsearch (output plugins)(一)插件介绍(二)配置项(三)实例四、TCP (input plugins)(一)插件介绍(二)配置项(三) 实例五、在线工具六、参考 一、File(Input plugins) (一)插件介绍 从文件中流式传输事件,通常通过以类似于tail -0F但可选地从头读取它们的方式拖
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
"ELK日志归集是一个用于管理和分析日志数据的解决方案,由Elastic Stack中的ElasticsearchLogstash、Kibana(ELK)以及Filebeat组件构成。此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集中利用Filebeat和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值