logstash grok mysql_Logstash--grok 正则表达式

最新推荐文章于 2024-04-09 13:54:14 发布
最新推荐文章于 2024-04-09 13:54:14 发布
阅读量129 收藏
点赞数
文章标签: logstash grok mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36391993/article/details/114729055
版权
本文介绍了如何使用Logstash的Grok过滤器处理MySQL日志,通过自定义和预定义的正则表达式模式,详细解析日志内容,以便于数据收集和分析。
摘要由CSDN通过智能技术生成

我在使用logstash的时候,为了更细致的切割日志,会写一些正则表达式。

使用方法input {

file {

type => "billin"

path => "/data/logs/product/result.log"

}

}

filter {

grok {

type => "billin"

pattern => "%{BILLINCENTER}"

patterns_dir => "/data/logstash/patterns/my_patterns"

}

}

output {

redis {

host => "192.168.50.13"

data_type =>"list"

key => "logstash:redis"

}

}

以下内容为正则表达式文件:cat my_patterns

TAB \t

META \-+

WZ ([^ ]*)

IPPORT %{IP}:%{POSINT}|%{META}

REQUEST (?:/[A-Za-z0-9$.+!*'(),~:#%_-]*)+\?[A-Za-z0-9$.+!*'(),~#%&/=:;_-]*

TY (?:(?

#EVERYURL ((\w+://)?([^\.]+)(\.[^/:]+)(:\d*)?([^#]*))|-

#EVERYURL (((\w+://)?([^\.]+)(\.[^/:]+)?([^#]*))+)|(\w+)|-

#EVERYURL ((\w+://)?([^\.]+)(\.[^/:]+)?([^#]*))+)|-

EVERYURL (http://+[\w\d:#@%/;$()~_?\+-=\\\.&]+)|(-)

#Logformat

########nginx access log example########

#122.137.199.113"122.137.199.113"www.xxxx.com172.16.10.110172.16.12.114:8018/Jun/2013:15:51:03 +0800GET /g/getSaleCounts.do?rnd=1371541857448&showStatus=true&goodsIds=215abd2e8fa95bc8 HTTP/1.120078"http://www.xxxx.com/goods-215abd2e8fa95bc8.html""Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; NP06)""a8fdb711-a695-43bd-abdd-a224fb07350d"

###############################

NGINXACCESSLOG %{IP:remote_ip}%{SPACE}%{QS:x_forward}%{SPACE}%{HOSTNAME:server_name}%{SPACE}%{IP:server_ip}%{SPACE}%{IPPORT:upstrem_ip}%{SPACE}%{HTTPDATE:timestamp}%{SPACE}%{WORD:verb}%{SPACE}%{WZ:request}%{SPACE}HTTP/%{NUMBER:httpversion}%{SPACE}%{NUMBER:response}%{SPACE}%{NUMBER:bytes}%{SPACE}%{QS:uri}%{SPACE}%{QS:agent}%{SPACE}%{QS:guid}

#picture p0.xxxx.com access log . 2012.07.19 add

PICLOG %{IP:remote_ip}%{SPACE}%{QS:x_forward}%{SPACE}%{HOSTNAME:server_name}%{SPACE}%{IP:server_ip}%{SPACE}%{HTTPDATE:timestamp}%{SPACE}%{WORD:verb}%{SPACE}%{WZ:request}%{SPACE}HTTP/%{NUMBER:httpversion}%{SPACE}%{NUMBER:response}%{SPACE}%{NUMBER:bytes}%{SPACE}%{QS:uri}%{SPACE}%{QS:agent}

#iis log format 20120618 add

###########iis log example###############

#2013-06-18 08:00:00 172.16.10.233 GET /js/functions.js - 80 - 117.136.34.2 Mozilla/5.0+(Linux;+U;+Android+4.1.2;+zh-CN;+LT22i+Build/6.2.A.0.400)+AppleWebKit/534.31+(KHTML,+like+Gecko)+UCBrowser/9.0.1.275+U3/0.8.0+Mobile+Safari/534.31 200 0 0 0

###################################

IISLOG %{DATE_EU:log_date} %{TIME:log_time} %{IP:server_ip} %{WORD:verb} %{URIPATH:uri_stem} %{WZ:uri_query} %{POSINT:s_port} %{WZ:cs_username} %{IP:c_ip} %{WZ:agent} %{POSINT:request} %{POSINT:substatus} %{POSINT:win32_status} %{POSINT:time_taken}

#2012/07/12 add

ZW \w+

###java date example

# 2012-11-27 14:52:42

############

JAVA_DATE %{DATE_EU} %{TIME}

EARTHLOG \[%{JAVA_DATE:log_date}\] \[%{WORD:level}\] \[%{WORD:action}\] \[\{"desc":"%{ZW:desc}","dateTime":%{ZW:dateTime},"userId":"%{ZW:userId}","code":%{ZW:code}\}\]

EAGLEUPDATE \[%{JAVA_DATE:log_date}\] \[%{WORD:level}\] \[%{WORD:action}\] \[\{"desc":%{QS:desc},"dateTime":%{ZW:dateTime},"userId":"%{ZW:userId}","code":%{ZW:code},"orderId":"%{ZW:orderId}"\}\]

EAGLELOGIN \[%{JAVA_DATE:log_date}\] \[%{WORD:level}\] \[%{WORD:action}\] \[\{"desc":%{QS:desc},"dateTime":%{ZW:dateTime},"userId":"%{ZW:userId}","code":%{ZW:code}\}\]

#2012/10/23 add

LJF (-\s+-)

RESINLOG %{IP:remote_ip}%{SPACE}%{NUMBER}%{SPACE}%{LJF}%{SPACE}\[%{HTTPDATE:timestamp}\]%{SPACE}"%{WORD:verb}%{SPACE}%{WZ:request}%{SPACE}HTTP/%{NUMBER}"%{SPACE}%{NUMBER:response}%{SPACE}%{NUMBER:bytes}%{SPACE}%{QS:uri}%{SPACE}%{QS:agent}%{SPACE}%{QS:session}

#RESINLOG %{IP:ip} %{NUMBER} - - \[%{HTTPDATE:time}\] "%{WORD:verb} %{WZ:request} HTTP/%{NUMBER}" %{NUMVER:response} %{NUMBER:bytes} %{QS:uri} %{QS:agent} %{QS:session}

#2012/11/13 add

DKH (\{.*\})

STOREGREP (\[\/\/\/ \- \] INFO \-)

DHMH ([^;|=]*)

CENTERLOG %{JAVA_DATE} %{STOREGREP} BId=%{NUMBER:bid};BR=%{DHMH:br};BP=%{DKH:bp}

#2012/11/20 add

JAVAGREP (\[\/\/\/ \- \])

ORDERCENTERERR %{JAVA_DATE} \[ RMI TCP Connection\(%{NUMER:threadid}\) -%{IP:ip}\] %{JAVAGREP} %{WORD:level}%{SPACE}%{WZ} - %{QS:message}

ORDERCENTERRESULT %{JAVA_DATE} \[ RMI TCP Connection\(%{NUMER:threadid}\) -%{IP:ip}\] %{JAVAGREP} %{WORD:level}%{SPACE}%{WZ} - %{DKH:message}

#2012/11/27 add

#####log example#######

#2013-06-18 15:28:12 INFO :{message:媒体传递的参数{"uid":["0"],"cid":["A100054947||0000"],"url":["http://www.xxxx.com/?from=lianmeng-weiyi"],"src":["weiyi"]}}

#

PARTNER %{JAVA_DATE:timestamp} %{WORD:level} :%{DKH:message}

#2012/11/28 add

PARTNERAPI %{JAVA_DATE:timestamp} %{WZ:level} :%{DKH:message}

#2013/06/18 add

#pattern all in the '[adskfjl }{\]'

FKH ([^;]*)

#######aether.log#####

#[2013-06-18 15:27:29] [INFO] [com.tuan.web.controller.IndexController] [{message:setHotStore#hot store size:5}]

AETHERLOG \[%{JAVA_DATE:timestamp}\] \[%{WZ:level}\] \[%{WZ:method}\] %{FKH:message}

Hytvju
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1600
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstashGrok插件正则表达式使用示例
阿瑟与非
04-13 3085
一、文档地址 logstash插件grok地址:https://www.elastic.co/guide/en/logstash/7.6/plugins-filters-grok.html 正则在线调试:http://grokdebug.herokuapp.com/ 官方预定义的 grok 表达式:https://github.com/logstash-plugins/logstash-pa...
logstashgrok插件作为日志解析工具,如何自定义正则表达式来匹配字符
最新发布
天草二十六
04-09 1306
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
Logstash配置插件grok详解
热门推荐
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置插件grok详解 grokLogstash最重要的插件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github....
logstash-filter-grok-4.3.0.tar.gz
11-23
GrokLogstash 中一个强大的正则表达式匹配库,它包含了一套预定义的模式(也称为模板或者模式匹配器),这些模式可以帮助解析常见的日志格式。例如,Grok 可以识别 Web 服务器日志数据日志甚至是自定义的...
logstash-filter-grok-4.0.4.zip
01-15
Grok 的工作原理类似于正则表达式,但提供了更丰富的语法和灵活性,允许处理复杂的日志格式。 1. **Grok 模式和语法** Grok 使用一种特定的语法,其中包括百分号 `%{PATTERN}` 来表示预定义或自定义的模式。例如,...
logstash grok mysql_【Logstash系列】使用Redis并自定义Grok匹配
weixin_39758696的博客
01-27 105
之前提到,用RabbitMQ作为消息队列。但是这个东西实在太过高精尖,不懂erlang不会调优的情况下,很容易挂掉——基本上我这里试验结果跑不了半小时日志传输就断了。所以改用简单易行的redis来干这个活。 之前的lib里,有inputs/redis.rb和outputs/redis.rb两之前提到,用RabbitMQ作为消息队列。但是这个东西实在太过高精尖,不懂erlang不会调优的情况下,很容...
匹配MySQL日志的正则_[日志分析]Graylog2采集Mysql日志
weixin_31971181的博客
01-19 321
之前聊了一下graylog如何采集nginx日志,为此我介绍了两种采集方法(主动和被动),让大家对graylog日志采集有了一个大致的了解。从日志收集这个角度,graylog提供了多样性和灵活性,大家可以根据自身场景选择适合自己的一种。这次要跟大家聊的是如何通过graylog采集mysql日志mysql日志的特点就是多行输出,不是那种一行就是一条日志的那种打印方式。除了采集,我这边还要介绍一...
正则表达式切掉log日志前面不需要的内容
大智制杖
04-04 282
2020[^\n]*msg:
运维实操——日志分析系统ELK(中)之logstash采集数据、伪装rsyslog、多行过滤、grok切片
qq_40764171的博客
08-15 1032
日志分析系统ELK(中)之logstash1、什么是logstash?2、Logstash安装3、logstash简单命令行测试4、logstash文件测试(1)命令行输入,输出到文件(2)命令行输入,输出到elasticsearch(3)文件输入,输出到elasticsearch5、logstash可以伪装成日志服务器,直接接受远程日志6、多行过滤插件(1)命令行多行输入,文件输出(2)文件多行输入,输出到elasticsearch7、grok切片过滤插件(1)命令行输入,过滤,命令行输出(2)apach
elk笔记4--grok正则解析
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
05-04 1458
elk笔记4--grok正则解析1 grok 切分方法2 grok 切分案例3 说明 1 grok 切分方法 grok切分规则可按照如下思路进行。 1)找准切分标志,以切分标志作为中心向左或者向右逐个字段抽出,对于正则中的通配符需要进行转义处理,否则这类字符作为分割标志的时候容易解析出错 2)也可以直接从左到右逐个字段取出 2 grok 切分案例 案例1内容: 2016/04/27 12:22...
日志切割方法及脚本
especialjie的博客
02-27 1357
ansible-log脚本: ##日志分割集中管理 - hosts: webs   become: yes   vars:     app: tomcat_log_split   tasks:     - name: "{{ app }}"       script: /opt/tags/ansible/playbooks/log
提取日志信息之正则表达式
xuewuzhijing10的专栏
12-14 8870
服务的链接字符换出错,又没有做日志监控,导致周五、周六、周日的数据更新全部出错,周日的发现了,这个时候错误日志已经达到1.5w条了,当时就崩溃了。。。。 关键是的是,还让其他服务也崩溃了(其他服务也用的这个数据库)。。。因为数据更新不停的尝试更新数据,连接错误数瞬间达到数据库的最大值,数据库不响应了,,,我那个去啊。   迅速改好连接,让服务正常使用。接下来就需要恢复数据了。   把日志拿出
Logstash Grok详解
叱咤少帅的博客
03-18 1万+
介绍 LogstashGrok 可以使蹩脚的、无结构的日志内容结构化 需要注意的地方 grok 模式是正则表达式,因此这个插件的性能受到正则表达式引擎严重影响,效率并不高。如果通过给定的匹配格式匹配不上会Kibana查询的时候打上tag 为 grok failed 的标签 语法详解 grok模式的语法如下: %{SYNTAX:SEMANTIC} SYNTAX:代表匹配值的类型,例如3.44可以...
logstash filter grok正则
04-29
Logstash filter grok正则是一种用于从未结构化的日志数据中提取有用信息的工具。它基于正则表达式,可以在日志数据中识别出特定的模式,并将其转换为结构化的数据。以下是一些常用的 grok 正则表达式示例: - 提取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值