filter grok 判断_filter-grok,dissect匹配数据

最新推荐文章于 2023-07-13 16:45:32 发布
最新推荐文章于 2023-07-13 16:45:32 发布
阅读量400 收藏 1
点赞数
文章标签: filter grok 判断
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33692177/article/details/111971785
版权
本文介绍了Grok和Dissect在Logstash中解析非结构化日志的用法。Grok利用正则表达式匹配日志,适合结构不一的文本,而Dissect通过定界符切分,适用于结构稳定的数据。同时,文章提供了一个自定义Grok匹配小数点数字的示例,并展示了如何利用官方预定义模式简化配置。此外,还讨论了如何使用Dissect实现类似Grok的效果,以及两个过滤器的配置选项和应用场景。
摘要由CSDN通过智能技术生成

Grok(正则捕获)、Dissect(切分):

grok使用正则匹配来提取非结构化日志数并据解析为结构化和可查询的内容。

dissect使用多种定界符(非数字和字母的符号,split只能一次只能使用一种定界符)来提取非结构化日志数据。

dissect与grok的不同之处在于它不使用正则表达式并且速度更快。当数据可靠地重复时,解析很有效。当文本结构因行而异时,grok是更好的选择。当线路的一部分可靠重复时,您可以同时使用dissect和grok作为混合用例。dissect过滤可以解构重复行的部分。grok过滤可以处理剩余的字段值,具有更多的正则表达式可预测。

自定义格式:

(?the pattern here)

示例:

[root@node2006 logstash]# bin/logstash -e 'input{stdin{}}filter{grok{match => {"message" => "(?\d+\.\d+)" }}}output{stdout{codec=>rubydebug}}' #匹配带有小数点的数字,这里得到的字段值是字符串类型。logstash中只有三种类型,string,integer,float。如果不指定类型,默认string

123.456

...

{

"message" => "123.456",

"host" => "node2006",

"request_time" => "123.456",

"@version" => "1",

"@timestamp" => 2019-01-25T06:43:37.948Z

}

上面的示例是匹配一个字段。如果为了匹配一行web日志,将全部写在一行,而且一行过多时就显的乱了。

还好官方提供了大量的已经写好的正则规则,只需要调用即可。官方调试地址:http://grokdebug.herokuapp.com/

如果需要自己配置相应的正则规则时,建议把所有的grok表达式统一写入到patterns目录下某个有意义名称的文件里,并在grok中使用patterns_dir参数调用即可。这样就可管理了。

标准格式:

%{SYNTAX:SEMANTIC}

SYNTAX是与您的文本匹配的模式名称,正则表达式也在patterns目录下某个文件里的简称

SEMANTIC是您为匹配的文本提供的标识符,也就是获取跟据SYNTAX获取到的数据的key,获取到的数据就是value

```

[root@node2006 logstash]# head -n 3 ./vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns/grok-patterns #logstash自带的正则表达式就都存放在此文件里,USERNAME就是SYNTAX,[a-zA-Z0-9._-]+就是正则表达式

USERNAME [a-zA-Z0-9._-]+

USER %{USERNAME}

EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+

[root@node2006 logstash]#

```

示例:

[root@node2006 logstash]# cat text.conf

input {

stdin {

}

}

filter {

grok {

match => {

"message" => "\[%{TIMESTAMP_ISO8601:time}\]\|%{IP:remote_addr}\|%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{NUMBER:httpversion}\|%{NUMBER:status}"

}

}

}

output {

stdout{

codec => rubydebug

}

}

[root@node2006 logstash]# bin/logstash -f text.conf #执行配置文件,并提供数据,根据配置文件中配置的解析数据。

[2018-12-12T10:11:38+08:00]|218.94.48.186|POST /siteapp/users/findUserInfoById HTTP/1.1|200

...

{

"host" => "node2006",

"httpversion" => "1.1",

"time" => "2018-12-12T10:11:38+08:00",

"@version" => "1",

"@timestamp" => 2019-01-26T06:25:35.801Z,

"request_uri" => "/siteapp/users/findUserInfoById",

"remote_addr" => "218.94.48.186",

"request_method" => "POST",

"status" => "200",

"message" => "[2018-12-12T10:11:38+08:00]|218.94.48.186|POST /siteapp/users/findUserInfoById HTTP/1.1|200"

}

上述解析出来的数据,"message"明显是重复的数据耗费存储,且如"status"等数据类型应该是数字,方便科学计算。

使用dissect插件实现与grok同样效果:

[root@node2006 logstash]# cat text.conf

input {

stdin {}

}

filter {

dissect {

mapping => {

"message" => "[%{time}]|%{remote_addr}|%{verb} %{request} HTTP/%{httpversion}|%{status}"

}

}

}

output {

stdout{

codec => rubydebug

}

}

[root@node2006 logstash]# bin/logstash -f text.conf

Sending Logstash logs to /usr/local/pkg/logstash/logs which is now configured via log4j2.properties

{

"remote_addr" => "218.94.48.186",

"status" => "200",

"request" => "/siteapp/users/findUserInfoById",

"@timestamp" => 2019-01-26T07:40:31.354Z,

"time" => "2018-12-12T10:11:38+08:00",

"httpversion" => "1.1",

"@version" => "1",

"verb" => "POST",

"message" => "[2018-12-12T10:11:38+08:00]|218.94.48.186|POST /siteapp/users/findUserInfoById HTTP/1.1|200",

"host" => "node2006"

}

常用配置选项:

参数

输入类型

默认值

解释

keep_on_match

boole

false

如果为true,将空捕获保留为事件字段

match

hash

{}

定义映射位置

overwrite

array

[]

覆盖已存在的字段中的值,目的是保留最重要的字段

patterns_dir

array

[]

Logstash默认带有一堆模式,当这些模式不适合你时,您自己增加正则匹配时,就可将正则写在此参数的目录下的所有文件

patterns_files_glob

string

*

选择patterns_dir指定的目录中的某个模式文件

tag_on_failure

array

["_grokparsefailure"]

没有成功匹配时,将些值附加到字段

下面提供一个对nginx日志的完整配置示例:

[root@node2006 logstash]# cat text.conf

input {

file {

path => "/tmp/text.log"

start_position => "beginning"

sincedb_path => "/dev/null"

}

}

filter {

grok {

match => {

patterns_dir => ["/usr/local/pkg/logstash/patterns"]

"message" => "%{STANDARDNGINXLOG}"

}

remove_field => ["message"]

}

mutate {

convert => {

"httpversion" => "float"

"response" => "integer"

"bytes" => "integer"

}

}

}

output {

stdout{

codec => rubydebug

}

}

[root@node2006 logstash]# cat patterns/nginx #查看统一管理的正则匹配

STANDARDNGINXLOG %{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)

[root@node2006 logstash]#

[root@node2006 logstash]# cat /tmp/text.log #这里存放了一条nginx标准日志

192.168.2.55 - - [24/Jan/2019:12:25:04 -0500] "GET / HTTP/1.1" 200 985 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36" "-"

[root@node2006 logstash]#

[root@node2006 logstash]# bin/logstash -f text.conf #可以看到相应的几个字段类型已经修改成功,且将不需要message字段删除了。

{

"auth" => "-",

"bytes" => 985,

"host" => "node2006",

"response" => 200,

"request" => "/",

"timestamp" => "24/Jan/2019:12:25:04 -0500",

"httpversion" => 1.1,

"clientip" => "192.168.2.55",

"@timestamp" => 2019-01-26T12:29:42.429Z,

"ident" => "-",

"@version" => "1",

"verb" => "GET",

"path" => "/tmp/text.log"

}

战导
关注
Logstash配置(官方文档)4-grok filter plugin
bigwood99的博客
04-21 358
grok filter plugins Plugin version(插件版本): v4.2.0 Released on(发布于): 2019-11-18 Description(描述) Parse arbitrary text and structure it. 解析任意文本数据并结构化 Grokis a great way to parse unstructured log...
ELK——Logstash filter的使用和Kibana应用
w1206507055的博客
06-18 843
Logstash filter 的使用和Kibana应用
logstash-filter-grok-4.0.4.zip
01-15
logstash-filter-grok-4.0.4.zip.................................
grok logstash配置_Grok 正则捕获
weixin_39856709的博客
12-19 240
Grok 正则捕获Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。正则表达式语法运维工程师多多少少都会一点正则。你可以在 grok 里写标准的正则,像下面这样:\s+(?\d+(?:\.\d+)?)\s+小贴士:这个正则表达式写法对于 Perl 或者 Ruby 程序员应该很熟悉了,Python 程序员可能...
filter grok 判断_ELK中对Tomcat日志的 filter grok match 写法
weixin_42520374的博客
12-24 228
Tomcat日志015-09-24 17:32:21 [http-bio-80-exec-7] DEBUG org.mybatis.spring.SqlSessionUtils -Closing non transactional SqlSession [org.apache.ibatis.session.defaults.DefaultSqlSession@1d5907b0]2015-09-24...
Logstash:Grok filter 入门
Elastic 中国社区官方博客
05-04 8034
有效分析和查询送入ELK堆栈的数据的能力取决于信息的可读性。 这意味着,当将非结构化数据摄取到系统中时,必须将其转换为结构化消息行。 通常,这个忘恩负义但至关重要的任务留给Logstash(尽管还有其他日志传送器可用,请参阅我们对Fluentd与Logstash的比较作为一个示例)。 无论你定义什么数据源,都必须提取日志并执行一些魔术来美化它们,以确保在将它们输出到Elasticsearch之前...
Logstash的filter插件-Dissect
qq_22648091的博客
06-08 828
一、介绍 Dissect filter 是一种分割操作。与常规拆分操作不同,其中一个分隔符应用于整个字符串,此操作将一组分隔符应用于字符串值。 Dissect不使用正则表达式,而且速度非常快。 但是,如果文本的结构因行而异,那么Grok更适合。 有一种混合的情况,可以使用Dissect来消除可靠重复的行的部分结构,然后Grok可以用于剩余的字段值,具有更高的regex可预测性,并且不需要做太多的总体工作。 二、示例 [root@es03 logstash]# cat dissect.conf input {
ganglia离线安装_ELK学习笔记之logstash安装logstash-filter-multiline(在线离线安装)
weixin_33362939的博客
12-23 483
0x00 概述ELK-logstash在搬运日志的时候会出现多行日志,普通的搬运会造成保存到ES中单条单条,很丑,而且不方便读取,logstash-filter-multiline可以解决该问题普通日志如下:记录到es会的记录则是:我们希望的结果肯定是这样的0x01 原生安装# /usr/share/logstash/bin/logstash-plugin install logstash-fil...
ELK-logstash 的 grokdissect 测试应用
ssqlms的博客
02-23 776
logstash 的 grokdissect 测试应用Logstash 的过滤表达式 grok & dissectgrok 工具dissect 工具在用华为交换机分割配置 Logstash 的过滤表达式 grok & dissect grok 工具 grok 是 一个非常优秀的过滤工具,其包含了丰富的内置正则表达式模板,以及可进行自定义的模板编写功能。可以处理复杂结构的log内容。 grok 的内置表达式查看位置 /usr/share/logstash/vendor/bundle/jru
Filebeat Filter - Dissect/DNS Reverse
MoreThanJason的博客
06-17 1852
在使用Filebeat替代Logstash的时候遇到需要从log中摘取数据的case,比如解析access log,最开始的方案是使用Filebeat module功能,把所有load都转移到Elasticsearch的Ingest Node上面。 之后遇到的case是文件路径中带有IP信息,需要把ip摘取出来之后通过DNS域名解析服务器转变成域名。如果依然使用module方式在Ingest no...
Logstash系列:过滤器filterGrok写法
NIO4444
01-11 768
原始数据 55.3.244.1 GET /index.html 15824 0.043 表达式 %{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} conf input { file { path => "/var/log/http.lo...
Logstash~filter.grok插件使用教程(附带实例)
feizuiku0116的博客
04-26 1719
->->grok在线测试网站-<-< ->->grok官方匹配模式-<-< ->->正则表达式官方语法-<-< 一、grok介绍 描述任意文本并对其进行结构化 将非结构化日志数据解析为结构化和可查询的数据 语法:%{SYNTAX:SEMANTIC} SYNTAX:要匹配的模式名称 SEMANTIC:为匹配的文本提供的标识符 二、match:匹配 1.常规匹配 按照%{SYNTAX:SEMANTIC}语法进行匹配,将SYNTAX
Filter的四大插件(grok、date、mutate、mutiline)
guyunbingyb的博客
07-13 620
grok、date、mutate、mutiline
Logstash filter grok正则的使用及介绍
qq_43164571的博客
09-08 1649
2.使用Logstash内置的正则案例1 3.使用Logstash内置的正则案例1 4.使用logstash自定义的正则案例 5.filter插件通用字段案例 6.data插件修改写入file的时间 7.geoip分析源地址的地址位置 8.useragent分析客户端的设备类型 9.mutate组件数据准备-python脚本 10.mutate组件常用字段案例 11.logstash的多if分支案列 12.今日作业
filter grok 判断_logstash grok使用案例
weixin_42469315的博客
02-01 555
Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或者其他正则表达式里)引用它。它非常适用于syslog logs,apache和一些其他的webserver logs,以及mysql logs。grok有很多定义好pattern,当然也可以自己定义。grok的语法:%{SYNTAX:SEMANTIC}SYNTAX表示grok定义好的p...
filter grok 判断_Logstash中grok filter example例子
weixin_30543595的博客
12-24 341
title: Logstash中grok filter example例子date: 2017-02-28tags: 大数据一、Logstash本文适合有部分Logstash经验的人阅读,如果不懂Logstash是什么,请多加google,后面我会继续整理的1、filtersLogstash核心组成部分就包括filters,这是个过滤器。一般日志中还是有很多有用信息的,利用Logstash的fil...
Logstash笔记(三)----Filter插件及grok的正则表达式来解析日志
weixin_34360651的博客
05-23 369
(一)简介: 丰富的过滤器插件的存在是 logstash 威力如此强大的重要因素。名为过滤器,其实提供的不单单是过滤的功能,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无中生有的添加新的 logstash 事件到后续的流程中去! Grok 是 Logstash 最重要的插件。你可以在 grok 里预定义好命名正则表达式,在稍后(grok参数或...
logstash的dissect匹配字符串内置双引号时需要注意的问题
weixin_45583482的博客
02-28 659
当你使用dissect匹配如下字符串时 "{\"0\",\"20\",\"WEB\"}" 如果你在mapping下如此编写 "{\"%{Id}\",\"%{num}\",\"%{name}\"}" 你会发现报错信息显示不匹配,而且你细看会发现我明明写的是\,怎么变成 \\\ 了? 类似于这样 Dissector mapping, pattern not found {"field"=>"message", "pattern"=>"{%{?pass}\\\"%{operation_time}\
Elasticsearch:DissectGrok 处理器之间的区别
Elastic 中国社区官方博客
07-20 939
针对很多情况我们可以直接使用 Dissect 处理器来对非结构化化的日志进行结构化。在我之前的文章 “Elasticsearch:深入理解 Dissect ingest processor” 有做笔记深入的讲解。在很多的情况下,我们也可以使用 Grok 处理器来进行结构化。那么这两者之间有什么区别呢?在实际的使用中,我们到底首先哪一个呢? 一般来说,我们需要首先 Dissect 处理器,这是因为它的速度比 Grok 要快很多。Grok 是基于正则匹配,执行速度比 Dissect 要蛮很多。当然 Grok.
logstash grok 过滤器
最新发布
08-19
Grok过滤器是Logstash中一种用于解析和匹配日志消息的工具。它使用正则表达式来匹配文本模式,并将匹配的值存储在新字段中。然而,当模式不匹配时,Grok过滤器可能会遇到性能问题。为了解决这个问题,可以考虑改用基于分隔符的Dissect过滤器,它比基于正则表达式的过滤器更容易编写和使用。不幸的是,目前还没有针对此的应用程序。要使用Grok过滤器,可以在配置文件中指定字段名称和匹配模式,如: ``` filter { grok { match => [ "message", "%{USERNAME:user}" ] } } ``` 这将从"message"字段中提取匹配的用户名,并将其存储在新的"user"字段中。另一方面,如果想在Logstash中改变应用程序的日志记录模式,可能会增加直接日志读取的困难。在这种情况下,可以考虑使用Logstash的Dissect过滤器,并进行相应的配置。一个可能的配置示例如下: ``` filter { dissect { mapping => { "message" => ... } } mutate { strip => [ "log", "class" ] } } ``` 这个配置将使用Dissect过滤器根据指定的映射将日志消息拆分成多个字段,并通过mutate过滤器删除不需要的字段,例如"log"和"class"。综上所述,Grok过滤器是Logstash中用于解析和匹配日志消息的一种工具,而Dissect过滤器则是一种更简单易用的基于分隔符的过滤器。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Logstash:如何使用 Logstash Grok 过滤器提取模式](https://blog.csdn.net/UbuntuTouch/article/details/107512971)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值