elasticsearch logstash filter使用测试

最新推荐文章于 2024-05-16 05:12:50 发布
最新推荐文章于 2024-05-16 05:12:50 发布
阅读量797 收藏 3
点赞数
分类专栏: elasticsearch 文章标签: elasticsearch logstash filter使
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43931625/article/details/103945420
版权

elasticsearch logstash filter使用测试

 

 

************************

grok 过滤器

 

语法:%{pattern_name:field_name}

pattern_name:正则表达式,匹配message中的文本

field_name:匹配文本的name,value为匹配的文本内容

 

******************

常用内置表达式:官网链接

 

NUMBER、(?:%{BASE10NUM}):10进制整数字符串

BASE16NUM :16进制整数字符串

 

WORD、\b\w+\b:匹配字符串

SPACE、\s*:空格

DATA、.*?:任意多个字符

GREEDYDATA、.*:任意多个字符

 

IP:匹配ip4或者ip6

HOSTNAME:匹配主机名,如www.baidu.com

 

TIMESTAMP_ISO8601:匹配时间戳

LOGLEVEL :日志输出级别,如info、warn等

 

******************

常用设置

 

pattern_definitions:设置自定义正则表达式,hash形式

    filter {
      grok {
        pattern_definitions => { 
          "pattern_name" => "pattern_value",
          "pattern_name2" => "pattern_value2"
        }
      }
    }

 

match:解析message,提取内容存储,hash形式

    filter {
      grok {
        match => { 
          "message" => "%{pattern_name:field_name}"
        }
      }
    }

 

id:设置过滤器的id,string形式

    filter {
      grok {
        id => "ABC"
      }
    }

 

add_field:添加字段,hash形式

    filter {
      grok {
        pattern_definitions => { 
          add_field => {
          "foo_%{somefield}" => "Hello world, from %{host}"
          "new_field" => "new_static_value"
          }
        }
      }
    }

 

remove_field:删除字段,array形式

    filter {
      grok {
        remove_field => [ "foo_%{somefield}" ]
      }
    }

 

add_tag:添加tag,array形式

filter {
      grok {
        add_tag => [ "foo_%{somefield}", "tag_1"]
      }
    }

 

remove_tag:删除tag

    filter {
      grok {
        remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
      }
    }

 

 

************************

示例

 

文本:

hello world www.baidu.com

 

管道配置

input {
  file {
    path => "/usr/share/logstash/logs/hello2.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    id => "grok"

    pattern_definitions => {
      "p1" => "\S*\s*\S*"
    }

    match => {
      "message" => "%{p1:word}\s*%{HOSTNAME:ip}"
    }

    add_field => {
      "field" => "%{word}"
      "field2" => "hello2"
    }

    add_tag => [
      "tag","tag2"
    ]

    remove_field => ["path"]
  }

  geoip {
    source => "ip"
  }
}

output {
  stdout { codec => rubydebug }
}

 

控制台输出

             

 

 

************************

geoip 过滤器:解析ip地址、hostname相关信息

 

文本

www.baidu.com
www.jd.com

 

logstash管道配置

input {
  file {
    path => "/usr/share/logstash/logs/hello3.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => {
      "message" => "%{HOSTNAME:ip}"
    }
  }

  geoip {
    source => "ip"
  }
}

output {
  stdout { codec => rubydebug }
}

 

控制台输出

           

           

 

 

o_瓜田李下_o
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
LogStash~LogStashfilter(过滤)
feizuiku0116的博客
04-20 895
1. Grok:能够将非结构化日志数据解析为结构化和可查询的内容 官方教程 filter { grok { match => { "message" => "%{COMBINEDAPACHELOG}"} } } 2.Geoip:查找 IP 地址,从地址中获取地理位置信息,并将该位置信息添加到日志中。 官方教程 filter { geoip { source => "clientip" } } ...
logstash过滤器插件filter详解及实例_logstash filter 时间戳
最新发布
2401_84715926的博客
05-16 972
这个时候我们更加能理解grok使用正则匹配数据了。需要注意的是:正则中,匹配空格和中括号要加上转义符。
logstash grok插件语法介绍
weixin_33915554的博客
03-05 1208
介绍logstash拥有丰富的filter插件,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无中生有的添加新的 logstash 事件到后续的流程中去!Grok 是 Logstash 最重要的插件之一。也是迄今为止使蹩脚的、无结构的日志结构化和可查询的最好方式。Grok在解析 syslog logs、apache and other webserver log...
Logstash概念与原理、与Flume的对比
热门推荐
Flytiger
07-01 2万+
Logstash概念 Logstash是一款开源的数据收集引擎,具备实时管道处理能力。简单来说,logstash作为数据源与数据存储分析工具之间的桥梁,结合ElasticSearch以及Kibana,能够极大方便数据的处理与分析。通过200多个插件,logstash可以接受几乎各种各样的数据。包括日志、网络请求、关系型数据库、传感器或物联网等等。 Logstash工作过程 如上图,Logst...
grok pattern 自定义
weixin_34247032的博客
09-26 903
eg: 日志 100.2.215.21 cnweb-01 [25/Sep/2018:03:45:03 +0800] "GET /test.html HTTP/1.1" "www.test.cn" 200 521 "0.000" "-" "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC...
ElasticSearch + Logstash 自动同步mysql数据
01-04
**Elasticsearch + Logstash 自动同步MySQL数据详解** 在大数据时代,实时、高效的数据处理与分析成为企业不可或缺的能力。Elasticsearch作为一个强大的全文搜索引擎,以其高性能、分布式、易扩展的特点,广泛应用...
elasticsearch and logstash版本6.2.4同步mysql
04-26
在集成MySQL的过程中,我们需要使用Logstash的`jdbc`输入插件来读取MySQL数据,然后通过Elasticsearch输出插件将数据写入Elasticsearch。以下是具体步骤: 1. **安装Elasticsearch**:解压 `elasticsearch-6.2.4....
elasticsearch+kibana+logstash ELK资料整理
05-11
Kibana 是一个数据可视化工具,与 Elasticsearch 配合使用,允许用户在 Web 界面上创建和分享仪表板,对 Elasticsearch 存储的数据进行可视化。Kibana 的主要功能包括: 1. **数据探索**: 通过 Kibana 的 Discover ...
ELK:Elasticsearch Logstash和Kibana教程
05-17
ELK Stack(ElasticsearchLogstash、Kibana)是一个流行的数据收集、处理和可视化的解决方案,尤其适用于日志管理和分析。这个组合可以实现以下功能: 1. **数据收集**:Logstash通过输入插件收集来自不同源的...
logstash-filter-grok-4.0.4.zip
01-15
Logstash 是一个强大的开源数据收集、处理和转发引擎,它属于 ELK (Elasticsearch, Logstash, Kibana) 堆栈的一部分,广泛应用于日志管理和数据分析领域。Grok 是 Logstash 中的一个核心过滤器插件,专门用于解析和...
elasticsearch 性能测试
08-06
NULL 博文链接:https://mitchz.iteye.com/blog/2085365
Logstash filter使用
m0_56342013的博客
06-18 1124
Logstash filter使用
ElasticSearch 测试连接工具(TestConnection)
山鹰的专栏
02-09 3067
截止到0.90.x的版本,Elasticsearch已经将connectedNodes从api中去掉,具体代替的方法是什么呢?也没有找到相关的说明。 因此决定自己手工写一个工具类。其实,我们只有通过API去执行一个方法,就可以测试连接是否正常。测试的方法选定为获得集群node的信息。测试代码: Java代码 import java.util.Map;  
Elasticsearch logstash filter
weixin_30758821的博客
09-25 121
参照官方文档: https://www.elastic.co/guide/en/logstash/current/advanced-pipeline.html demo-pipeline.conf input { beats { port => "5044" } } filter { grok { ...
Elasticsearch测试
随风而逝的博客
10-06 1118
Elasticsearch提供了一个jar文件,可以将其添加到任何Java IDE,并可用于测试Elasticsearch相关的代码。 可以使用Elasticsearch提供的框架执行一系列测试 - 单元测试 集成测试 随机测试 要开始测试,需要向程序添加Elasticsearch测试依赖关系。您可以使用maven来实现此目的,并且可在pom.xml中添加以下内容。 org.elasticsearch elasticsearch 2.1.0 EsSetup初始化用来启动和停止Elasticsearch
ElasticSearch_1_导入官网测试数据
u012224510的博客
01-21 7871
一) 准备测试数据 去官网下载测试数据 https://download.elastic.co/demos/kibana/gettingstarted/logs.jsonl.gz https://download.elastic.co/demos/kibana/gettingstarted/accounts.zip https://download.elastic.co/demos/kibana/...
Spark2.x写入Elasticsearch的性能测试
weixin_34130269的博客
10-27 738
为什么80%的码农都做不了架构师?>>> ...
极速导入elasticsearch测试数据
程序员欣宸的博客
04-21 5230
快速导入测试数据用于elasticsearch查询练习
elasticsearch logstash
09-15
Logstash的应用中,你可以使用logstash-input-elasticsearch插件来将Elasticsearch索引迁移到Logstash中。你可以指定要匹配的索引、每次滚动返回的最大匹配记录数、滚动请求的保活时间等参数。此外,你还可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值