grok logstash配置_Logstash6中grok插件的常用正则表达式

最新推荐文章于 2024-04-09 13:54:14 发布
最新推荐文章于 2024-04-09 13:54:14 发布
阅读量236 收藏
点赞数
文章标签: grok logstash配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39766014/article/details/111516794
版权

grok默认表达式

Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。

常用表达式

表达式标识

名称

详情

匹配例子

USERNAME 或 USER

用户名

由数字、大小写及特殊字符(._-)组成的字符串

1234、Bob、Alex.Wong

EMAILLOCALPART

用户名

首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=:)组成的字符串。注意,国内的QQ纯数字邮箱账号是无法匹配的,需要修改正则

windcoder、windcoder_com、abc-123

EMAILADDRESS

电子邮件

windcoder@abc.com、windcoder_com@gmail.com、abc-123@163.com

HTTPDUSER

Apache服务器的用户

可以是EMAILADDRESS或USERNAME

INT

整数

包括0和正负整数

0、-123、43987

BASE10NUM 或 NUMBER

十进制数字

包括整数和小数

0、18、5.23

BASE16NUM

十六进制数字

整数

0x0045fa2d、-0x3F8709

WORD

字符串

包括数字和大小写字母

String、3529345、ILoveYou

NOTSPACE

不带任何空格的字符串

SPACE

空格字符串

QUOTEDSTRING 或 QS

带引号的字符串

"This is an apple"、'What is your name?'

UUID

标准UUID

550E8400-E29B-11D4-A716-446655440000

MAC

MAC地址

可以是Cisco设备里的MAC地址,也可以是通用或者Windows系统的MAC地址

IP

IP地址

IPv4或IPv6地址

127.0.0.1、FE80:0000:0000:0000:AAAA:0000:00C2:0002

HOSTNAME

IP或者主机名称

HOSTPORT

主机名(IP)+端口

127.0.0.1:3306、api.windcoder.com:8000

PATH

路径

Unix系统或者Windows系统里的路径格式

/usr/local/nginx/sbin/nginx、c:\windows\system32\clr.exe

URIPROTO

URI协议

http、ftp

URIHOST

URI主机

windcoder.com、10.0.0.1:22

URIPATH

URI路径

//windcoder.com/abc/、/api.php

URIPARAM

URI里的GET参数

?a=1&b=2&c=3

URIPATHPARAM

URI路径+GET参数

/windcoder.com/abc/api.php?a=1&b=2&c=3

URI

完整的URI

https://windcoder.com/abc/api.php?a=1&b=2&c=3

LOGLEVEL

Log表达式

Log表达式

Alert、alert、ALERT、Error

日期时间表达式

表达式标识

名称

匹配例子

MONTH

月份名称

Jan、January

MONTHNUM

月份数字

03、9、12

MONTHDAY

日期数字

03、9、31

DAY

星期几名称

Mon、Monday

YEAR

年份数字

HOUR

小时数字

MINUTE

分钟数字

SECOND

秒数字

TIME

时间

00:01:23

DATE_US

美国时间

10-01-1892、10/01/1892/

DATE_EU

欧洲日期格式

01-10-1892、01/10/1882、01.10.1892

ISO8601_TIMEZONE

ISO8601时间格式

+10:23、-1023

TIMESTAMP_ISO8601

ISO8601时间戳格式

2016-07-03T00:34:06+08:00

DATE

日期

美国日期%{DATE_US}或者欧洲日期%{DATE_EU} |

DATESTAMP

完整日期+时间

07-03-2016 00:34:06

HTTPDATE

http默认日期格式

03/Jul/2016:00:36:53 +0800

自定义grok表达式

上面列举的只是一部分,更多的可以自己搜索查找,如果需要自定义,需要按以下步骤进行:

创建一个名为patterns的目录,其中包含一个名为extra的文件(文件名无关紧要,但为自己命名有意义)

在该文件中,将您需要的模式按如下格式书写:模式名称,空格,然后是该模式的正则表达式。

例如,获取 一个queue id:

# contents of ./patterns/postfix:

POSTFIX_QUEUEID [0-9A-F]{10,11}

然后使用此插件中的patterns_dir 字段设置告诉logstash您的自定义模式目录所在的位置。

这是一个包含示例日志的完整示例:

Jan 1 06:25:43 mailserver14 postfix/cleanup[21403]: BEF25A72965: message-id=<20130101142543.5828399CCAF@mailserver14.example.com>

配置:

filter {

grok {

patterns_dir => ["./patterns"]

match => { "message" => "%{SYSLOGBASE} %{POSTFIX_QUEUEID:queue_id}: %{GREEDYDATA:syslog_message}" }

}

}

结果:

timestamp: Jan 1 06:25:43

logsource: mailserver14

program: postfix/cleanup

pid: 21403

queue_id: BEF25A72965

syslog_message: message-id=<20130101142543.5828399CCAF@mailserver14.example.com>

另一种选择是使用pattern_definitions在过滤器中定义内联模式。

这主要是为了方便起见,并允许用户定义一个可以在该过滤器中使用的模式。

pattern_definitions中新定义的模式在特定的grok过滤器之外将不可用。

参考资料

weixin_39766014
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash grok 自测实例+常用正则grok-patterns)
qq_34646817的博客
08-01 9129
一、背景 研究了grok一下整天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1597
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
【ELK之logstashgrok入门:自测实例+常用正则grok-patterns)
MayMatrix 的博客
03-13 2296
一、背景 研究了grok几天,虽然知识还是很浅薄,但还是在这里做个总结。 场景 在使用logstash进行日志收集工作的时候,filter是个很重要的插件,而其Grok能很好的解析日志。 logstash教程:https://blog.csdn.net/qq_34646817/article/details/81232083 grok教程:https://blog.csdn.net/q...
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
Logstash配置插件grok详解
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置插件grok详解 grokLogstash最重要的插件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github....
nginx的正则表达式logstash
12-10
nginx的正则表达式logstash用。grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。
logstash-filter-grok-4.0.4.zip
01-15
GrokLogstash 的一个核心过滤器插件,专门用于解析和提取非结构化日志数据的关键信息,使其转化为结构化数据,便于后续处理和分析。 在 Logstash 4.0.4 版本Grok 过滤器插件扮演着至关重要的角色。它...
Logstash自带正则表达式
xuguokun1986的博客
11-02 4746
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+))) NUMBER (?:%{BASE10NUM}) BASE16NUM (? BASE16FLOAT \b(? POSINT \b(?:
使用Logstash过滤插件Grok自定义正则表达式模式并引用
江晓龙的博客
07-13 1473
1)首先在kibana上调试增加一个正则模式模式名称就叫ID 表达式为,表示匹配0-9任意数字,且满足至少3位但不能超过6位,最多6位就是结尾,否则就匹配不上。2)在grok模式应用自定义的正则模式在最后一列增加ID正则模式,然后进行模拟,可以过滤出我们需要的内容3)配置logstash使用自定义的正则模式 4)在kibana上展示日志数据增加上新的id字段......
轻松掌握Logstashgrok匹配
全菜工程师小辉的博客
03-16 7360
Logstash的filter插件在7.5.1版本,有多达46种。介绍filter插件的官网地址,感兴趣的话可以自行研究,点此跳转 本文主要讲解filter插件grok。通过在filter使用grok,可以把日志的关键字快速匹配出来。 grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。 Grok Debugger在线匹配正则 推荐一款在线匹配正则的网站——Grok Debu...
logstash grok插件语法介绍
weixin_33915554的博客
03-05 1213
介绍logstash拥有丰富的filter插件,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无生有的添加新的 logstash 事件到后续的流程去!GrokLogstash 最重要的插件之一。也是迄今为止使蹩脚的、无结构的日志结构化和可查询的最好方式。Grok在解析 syslog logs、apache and other webserver log...
logstashgrok学习笔记
开心就好的专栏
12-22 1094
logstashgrok学习笔记 (未完待续)
Logstash配置语法
weixin_45880055的博客
08-11 3779
文章目录Logstash基本语法组成Logstash输入插件(Input)Logstash编码插件(Codec)Logstash过滤器插件(Filter插件)Logstash输出插件(output) Logstash基本语法组成 logstash之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程Logstash配置文件有如下三部分组成,其input、output部分是必须配置,filt
Grok常用正则表达式(日常记录)
qq_20283263的博客
01-20 2166
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+ EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]...
grok 正则
chenzl的专栏
10-17 1200
环境 centos 7.2 JDK 11 logstash 7.4 rpm logstash rpm安装,参见Logstash RPM安装 语法 grok正则,是在通用的正则基础上,加了正则表达的名称(变量名),这样就可以在其他的正则里调用了; 通用的正则,参见正则表达式 grok调用正则的语法为 %{PATTERN_NAME} %{PATTERN_NAME:OUTPUT_FIELD_NAM...
logstashgrok插件作为日志解析工具,如何自定义正则表达式来匹配字符
最新发布
天草二十六
04-09 1277
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
logstash filter grok正则
04-29
Logstash 使用 grok 正则表达式,可以通过在 filter 部分添加 grok 插件来实现。例如: ``` filter { grok { match => { "message" => "%{IP:client} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值