linux日志过滤器,使用Logstash的grok过滤日志文件

最新推荐文章于 2024-01-23 07:30:57 发布
最新推荐文章于 2024-01-23 07:30:57 发布
阅读量378 收藏
点赞数
文章标签: linux日志过滤器

可以使用Logstash的grok模块对任意文本解析并结构化输出。Logstash默认带有120中匹配模式。

可以参见源代码

logstash/patterns/grok-patterns

logstash/lib/logstash/filters/grok.rb

grok的语法格式为 %{SYNTAX:SEMANTIC}

SYNTAX是文本要匹配的模式,例如3.14匹配 NUMBER 模式,127.0.0.1 匹配 IP 模式。

SEMANTIC 是匹配到的文本片段的标识。例如 “3.14” 可以是一个时间的持续时间,所以可以简单地叫做"duration" ,字符串"55.3.244.1"可以被标识为“client”

所以,grok过滤器表达式可以写成:

%{NUMBER:duration} %{IP:client}

默认情况下,所有的SEMANTIC是以字符串的方式保存,如果想要转换一个SEMANTIC的数据类型,例如转换一个字符串为×××,可以写成如下的方式:

%{NUMBER:num:int}

例如日志

55.3.244.1 GET /index.html 15824 0.043

可以写成如下的grok过滤表达式

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

再举一个实际的案例

常规的Apache日志127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] "GET /router.php HTTP/1.1" 404 285 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] "GET /router.php HTTP/1.1" 404 285 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"

使用Logstash收集input{

file {

type => "apache"

path => "/var/log/httpd/access_log"

exclude => ["*.gz"]

sincedb_path => "/dev/null"

}

}

output {

stdout {

codec => rubydebug

}

}

显示:{

"message" => "127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] \"GET /router.php HTTP/1.1\" 404 285 \"-\" \"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\"",

"@version" => "1",

"@timestamp" => "2015-04-13T09:22:03.844Z",

"type" => "apache",

"host" => "xxxxxx",

"path" => "/var/log/httpd/access_log"

}

{

"message" => "127.0.0.1 - - [13/Apr/2015:17:22:03 +0800] \"GET /router.php HTTP/1.1\" 404 285 \"-\" \"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\"",

"@version" => "1",

"@timestamp" => "2015-04-13T09:22:03.844Z",

"type" => "apache",

"host" => "xxxxxx",

"path" => "/var/log/httpd/access_log"

}

修改配置如下:

input {

file {

type => "apache"

path => "/var/log/httpd/access_log"

exclude => ["*.gz"]

sincedb_path => "/dev/null"

}

}

filter {

if [type] == "apache" {

grok {

match => ["message",  "%{COMBINEDAPACHELOG}"]

}

}

}

output {

stdout {

codec => rubydebug

}

}

显示:{

"message" => "127.0.0.1 - - [14/Apr/2015:09:53:40 +0800] \"GET /router.php HTTP/1.1\" 404 285 \"-\" \"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\"",

"@version" => "1",

"@timestamp" => "2015-04-14T01:53:57.182Z",

"type" => "apache",

"host" => "xxxxxxxx",

"path" => "/var/log/httpd/access_log",

"clientip" => "127.0.0.1",

"ident" => "-",

"auth" => "-",

"timestamp" => "14/Apr/2015:09:53:40 +0800",

"verb" => "GET",

"request" => "/router.php",

"httpversion" => "1.1",

"response" => "404",

"bytes" => "285",

"referrer" => "\"-\"",

"agent" => "\"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\""

}

{

"message" => "127.0.0.1 - - [14/Apr/2015:09:53:40 +0800] \"GET /router.php HTTP/1.1\" 404 285 \"-\" \"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\"",

"@version" => "1",

"@timestamp" => "2015-04-14T01:53:57.187Z",

"type" => "apache",

"host" => "xxxxxxx",

"path" => "/var/log/httpd/access_log",

"clientip" => "127.0.0.1",

"ident" => "-",

"auth" => "-",

"timestamp" => "14/Apr/2015:09:53:40 +0800",

"verb" => "GET",

"request" => "/router.php",

"httpversion" => "1.1",

"response" => "404",

"bytes" => "285",

"referrer" => "\"-\"",

"agent" => "\"curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2\""

}

这里的%{COMBINEDAPACHELOG} 是logstash自带的匹配模式

patterns/grok-patternsCOMMONAPACHELOG %{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:req

uest}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)

COMBINEDAPACHELOG %{COMMONAPACHELOG} %{QS:referrer} %{QS:agent}

grok可以支持任意正则表达式

所以支持的正则表达式的语法可以参见

在有些情况下自带的匹配模式无法满足需求,可以自定义一些匹配模式

首先可以根据正则表达式匹配文本片段

(?the pattern here)

例如,postfix日志有一个字段表示 queue id,可以使用以下表达式进行匹配:

(?[0-9A-F]{10,11}

可以手动创建一个匹配文件

#     # contents of ./patterns/postfix:

POSTFIX_QUEUEID [0-9A-F]{10,11}Jan  1 06:25:43 mailserver14 postfix/cleanup[21403]: BEF25A72965: message-id=<20130101142543.5828399CCAF@mailserver14.example.com>

filter {

grok {

patterns_dir => "./patterns"

match => [ "message", "%{SYSLOGBASE} %{POSTFIX_QUEUEID:queue_id}: %{GREEDYDATA:syslog_message}" ]

}

}

The above will match and result in the following fields:

* timestamp: Jan  1 06:25:43

* logsource: mailserver14

* program: postfix/cleanup

* pid: 21403

* queue_id: BEF25A72965

* syslog_message: message-id=<20130101142543.5828399CCAF@mailserver14.example.com>

The `timestamp`, `logsource`, `program`, and `pid` fields come from the

SYSLOGBASE pattern which itself is defined by other patterns.

可以使用重写The fields to overwrite.

This allows you to overwrite a value in a field that already exists.

For example, if you have a syslog line in the 'message' field, you can

overwrite the 'message' field with part of the match like so:

filter {

grok {

match => [

"message",

"%{SYSLOGBASE} %{DATA:message}"

]

overwrite => [ "message" ]

}

}

In this case, a line like "May 29 16:37:11 sadness logger: hello world"

will be parsed and 'hello world' will overwrite the original message.

参考文档:

诶你说什么
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash过滤不需要的日志
weixin_43316683的博客
05-28 8043
有些我们不想要的日志,如理图例: 可以通过Logstash的filter来过滤,简单过滤如下: input { tcp { port => 8002 codec => json_lines } } filter{ ### 如果message中以Retrieved hosts from InstanceDiscovery: 0开头 ...
logstash-filter-sequence:日志过滤器序列
06-05
过滤器将为具有相同时间戳的事件分配一个序列,以便通过对序列进行排序,以正确的顺序显示它们。 开始吧: 克隆到 /opt(例如) git clone https://github.com/pauljb/logstash-filter-sequence.git 建造 cd /opt/logstash-filter-sequence gem build logstash-filter-sequence.gemspec 安装 bin/plugin install /opt/logstash-filter-sequence/logstash-filter-sequence-0.1.1.gem 这个插件的代码最初来自这里: : 在 Logstash使用: 在您可能拥有的任何多行过滤器之后使用: sequence{} 从弹性搜索中按顺序排序。 例
Logstash过滤器--grok
春天的道路依然充满泥泞!
10-25 654
参考链接https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
通过logstash filter过滤屏蔽不需要的日志
focus on security
03-17 4249
下面是解决过滤屏蔽日志logstash配置文件. Python #blog: xiaorui.cc #代码高亮有问题,大于可能会被转义成, 大家注意一下. input { file { type => "producer" path => "/data/buzzMaster/extractor.log" } } filter { if ([message] =~ "^xiaorui.cc") { drop {} } } output { stdout { codec => .
ELK --- Grok正则过滤Linux系统登录日志
weixin_34309543的博客
03-22 552
过滤Linux系统登录日志/var/log/secure 登陆成功 Jan 6 17:11:47 localhost sshd[3324]: Received disconnect from 172.16.0.13: 11: disconnected by user Jan 6 17:11:47 localhost sshd[3324]: pam_unix(sshd:session): ses...
logstash filter grok过滤日志文件的配置方法
Clozzz的博客
05-25 482
1、在grok中可以使用正则来匹配相应的日志记录 %{IP:client_id_address} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:http_response_time} grok中自带了120多种正则的匹配表达式,但个人建议还是自己根据要求去写对应的正则表达式,完全没有必要去记住grok中自带的正则表达式。 相应的在日志文件中的内容如下: # /etc/logstash/conf.d/01-..
logstash日志抓取搭建
04-26
在这个例子中,Logstash从指定的日志文件路径读取数据,使用Grok插件解析日志格式,将时间戳转换为Elasticsearch可理解的格式,并将处理后的数据发送到本地运行的Elasticsearch实例。 **4. 启动与监控Logstash** ...
最新版linux logstash-7.16.1-linux-x86_64.tar.gz
12-16
2. 数据过滤:通过grok过滤器解析日志格式,提取关键信息,如`filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{WORD:level}: %{GREEDYDATA:message}" } } }`。 3. 数据转发:利用...
最新版linux logstash-7.9.1.tar.gz
09-07
安装和使用 Logstash-7.9.1 时,用户需要解压下载的 `.tar.gz` 文件,配置 `config` 目录下的配置文件以满足其特定需求,例如定义输入、过滤器和输出插件来处理和转发数据。此外,还要确保系统上已安装 Java 运行时...
最新版linux logstash-7.8.0.tar.gz
06-19
8. **最佳实践**:为了获得最佳性能,建议为不同类型的日志使用单独的Logstash实例,每种实例专注于特定的日志源和处理逻辑。同时,定期监控Logstash的CPU和内存使用情况,避免资源瓶颈。 9. **社区与文档**:...
logstash-patterns:用logstash解析和构造日志消息的Grok模式
05-26
Logstash模式 使用解析和构造不同服务的日志消息的模式。 使用调试您的图案! 注意,可能会有细微的差异! 向该存储库发出拉取请求时,请不要忘了包含您的提交尝试解析的消息的示例!! 添加图案 通常在自己的文件中开发一个新的模式,然后将主要的新模式称为<something>_MSG 。 比您可以做的: 延长RSYSLOGMESSAGE在rsyslog有一个新的特征码文件,通过与它连接| 并将新模式放在GREEDYDATA之前。 这仅需要一个新的rpm,而无需更改配置。 这对于测试非常方便。 在测试配置中的新模式添加到列表中的grok的前过滤器RSYSLOGMESSAGE如下: %{RSYSLOGPREFIX}%{<something>_MSG}这需要在quattor一个新的rpm和配置改变了。 仅当模式被认为是稳定的时才应执行。
最新版linux logstash-8.5.2-linux-x86-64.tar.gz
11-25
Logstash的配置文件由输入、过滤器和输出部分组成,每一部分都有自己的配置指令。以下是一个简单的示例配置文件: ```conf input { file { path => ["/var/log/application.log"] start_position => "beginning...
linux筛选日志
weixin_44133711的博客
07-23 164
#!/bin/bash logPath=/www/wwwroot/hhky/runtime/log/$1/ if [ $5 ] then filePartern='_cli.log' else filePartern='.log' fi for((i=$2;i<=$3;i++)); do num=$(printf "%02d" "$i") for j in `ls $logPath*${num}${filePartern}` do echo $j":" cat $j|gre
ELK logstash日志收集与过滤
qq_39738963的博客
12-03 1167
logstash日志过滤与收集测试
大数据运维实战第十七课 日志收集、分析过滤工具 Logstash应用实战
fegus的博客
08-19 1240
Logstash 是一款轻量级的、开源的日志收集处理框架,它可以方便地把分散的、多样化的日志搜集起来,并进行自定义过滤分析处理,然后传输到指定的位置,比如某个服务器或者文件Logstash 的理念很简单,从功能上来讲,它只做 3 件事情:input,数据收集;filter,数据加工,比如过滤、修改等;output,数据输出。由此可知,Logstash 实现的功能主要分为接收数据、解析过滤并转换数据、输出数据。
Linux命令 查看实时日志过滤功能
07-17 2601
查看实时日志tail -f 文件路径/文件名 tail -f /app/projecttest/logs/20200717.log 若想实时过滤某个关键字,在后面增加|grep 关键字,则只打印带关键字的那行日志,例如要过滤 “失败” tail -f /app/projecttest/logs/20200717.log | grep 失败 ...
日志搜集、过滤及推送处理框架logstash及fluentd总结
热门推荐
benpaobagzb的博客
03-16 1万+
简介 Logstash是一个接收,处理,转发日志的工具。支持系统日志,webserver日志,错误日志,应用日志,总之包括所有可以抛出来的日志类型。怎么样听起来挺厉害的吧? 在一个典型的使用场景下(ELK):用Elasticsearch作为后台数据的存储,kibana用来前端的报表展示。Logstash在其过程中担任搬运工的角色,它为数据存储,报表查询和日志解析创建了一个功能强大的管道链。Lo
日志解析神器——Logstash中的Grok过滤器使用详解
最新发布
铭毅天下Elasticsearch
01-23 1910
0、引言在处理日志数据时,我们经常面临将非结构化文本转换为结构化数据的挑战。Logstash 作为一个强大的日志管理工具,提供了一个名为 Grok过滤器插件,专门用于解析复杂的文本数据。后文会解读,功能远不止于此......关于 Grok 过滤器插件,咱们之前有过两篇文章讲解:1、干货 | Logstash自定义正则表达式ETL实战2、干货 | Logstash Grok数据结构化ETL实战G...
【OpenGrok代码搜索引擎】二、Windows10下基于Linux子系统搭建Opengrok代码搜索引擎
从0到1,突破自己
03-27 3766
OpenGrok为一个方便快速的源码搜索及交叉引用查询引擎。 它以Java编写,可用于源码搜索、交叉引用查询、以及源码树定位。 它支持多种编码语言和多种代码版本控制引擎系统。
logstash grok 过滤器
08-19
Grok过滤器Logstash中一种用于解析和匹配日志消息的工具。它使用正则表达式来匹配文本模式,并将匹配的值存储在新字段中。然而,当模式不匹配时,Grok过滤器可能会遇到性能问题。为了解决这个问题,可以考虑改用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值