logstash之filter-patterns库的正则表达式非格式化的数据格式化

最新推荐文章于 2024-08-09 07:13:03 发布
最新推荐文章于 2024-08-09 07:13:03 发布
阅读量496 收藏
点赞数
分类专栏: ELK 文章标签: logstash filter-patterns
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44062339/article/details/103221290
版权

patterns正则表达式库介绍

默认grok调用的是:/logstash-5.5.2/vendor/bundle/jruby/1.9/gems/logstash-patterns-core-4.1.1/patterns 这个目录下的正则
上面的例子,可以这样写:

input {stdin{}}
filter {
    grok {
        match => {
# "message" => "(?<date>\d+\.\d+)\s+(?<is>\w+)\s+(?<luck>\w+)\s+(?<day>\w+)"

            "message" => "%{NUMBER:date:float} %{WORD:is} %{WORD:luck} %{WORD:day}"
        }
    }
}
output {stdout{codec => rubydebug}}

结果截图:
在这里插入图片描述

grok将非结构化数据进行结构化

Nginx打印出的日志一般格式是:

192.168.77.1 - - [09/Apr/2018:20:08:18 +0800] "GET / HTTP/1.1" 200 156 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.
0.3325.181 Safari/537.36"
192.168.77.1 - - [09/Apr/2018:20:08:19 +0800] "GET /plugins/kibana/assets/dashboard.svg HTTP/1.1" 200 301 "http://hadoop01/app/kibana" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"

这种日志是非格式化的,通常,我们获取到日志后,还要使用mapreduce或者spark做一下清洗操作,就是将非格式化日志编程格式化日志;
在清洗的时候,如果日志的数据量比较大,那么也是需要花费一定的时间的;
所以可以使用logstash的grok功能,将nginx的非格式化数据采集成格式化数据:

input {stdin{}}
filter {
    grok {
        match => {
                "message" => "%{IPORHOST:remote_addr} - %{NGUSER:remote_addr} \[%{HTTPDATE:time_local}\] \"(?:%{WORD:request} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:status} %{NUMBER:body_bytes_sent} %{QS:http_referer} %{QS:http_user_agent} %{NOTSPACE:http_x_forwarded_for}"
        }
    }
}
output {stdout{codec => rubydebug}}

启动:
bin/logstash -f /usr/local/elk/logstash-5.5.2/conf/template/format_log.conf
在控制台输入日志:

192.168.77.1 - - [10/May/2018:12:12:40 +0800] "GET /plugins/ml/ml.svg HTTP/1.1" 304 0 "http://hadoop01/app/kibana" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36" "-"

结果展示:
在这里插入图片描述

跟攀博学Java编程
关注
专栏目录
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 2222
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
logstash中grok自带的pattern如何查看
QYHuiiQ
05-09 1939
有的时候我们想看一下logstash中grok自带的patterns,可以从根源了解它的匹配规则,这里就记录一下它藏的地方: logstash安装包/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns cat grok-patterns ...
Logstash Patterns Core 项目教程
最新发布
gitblog_00137的博客
08-09 383
Logstash Patterns Core 项目教程 logstash-patterns-core项目地址:https://gitcode.com/gh_mirrors/lo/logstash-patterns-core 项目介绍 logstash-patterns-core 是一个 Logstash 插件,提供了用于 grok 过滤器的模式定义。Logstash 是一个开源的服务器端数据处理...
LogstashLogstash 入门教程 (二)
Elastic 中国社区官方博客
05-08 3万+
这是之前系列文章“LogstashLogstash 入门教程 (一)”的续集。在之前的文章中,我们详细地介绍了Logstash是什么?在今天的文章中,我们将详细介绍如果使用Logstash,并把 Apache Web log导入到 Elasticsearch中。在这篇文章中,我们将触及到如下的过滤器: Grok Geoip Useragent Date Mutate 安装 Elastic.........
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
ELK Logstash 自定义正则模式patterns_dir
小楼一夜听春雨,深巷明朝卖杏花
12-23 1573
[root@localhost ~]# cat /usr/local/logstash/conf.d/test.conf input { file { path => "/var/log/test.log" } } filter { grok { patterns_dir => "/opt/patterns" match => { "message" => "%{IPV4:client_ip} %{WORD:method} %{URIP...
logstash-filter-grok-4.3.0.tar.gz
11-23
Grok 是 Logstash 中一个强大的正则表达式匹配,它包含了一套预定义的模式(也称为模板或者模式匹配器),这些模式可以帮助解析常见的日志格式。例如,Grok 可以识别 Web 服务器日志、数据日志甚至是自定义的...
logstash-filter-multiline
05-30
对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与...
logstash-filter-geoip-cn.zip
03-27
"logstash-filter-geoip-cn.zip" 文件显然是针对Logstash设计的一个过滤器插件,目的是将IP地址解析为中文的地理位置信息。 GeoIP 插件是Logstash中的一个重要组件,它允许我们通过MaxMind的GeoIP数据来获取IP...
logstash-filter-dedupe:Redis的重复数据删除过滤器
05-17
注意:正在进行中,大多数def暂时不起... 接下来,您需要使用/opt/logstash/bin/plugin -install logstash-filter-dedupe 最后,将过滤器添加到您的logstash配置中: filter { dedupe { keys => ["keys", "to", "h
logstash-patterns:用logstash解析和构造日志消息的Grok模式
05-26
Logstash模式 使用解析和构造不同服务的日志消息的模式。 使用调试您的图案! 注意,可能会有细微的差异! 向该存储发出拉取请求时,请不要忘了包含您的提交尝试解析的消息的示例!! 添加图案 通常在自己的文件中开发一个新的模式,然后将主要的新模式称为<something>_MSG 。 比您可以做的: 延长RSYSLOGMESSAGE在rsyslog有一个新的特征码文件,通过与它连接| 并将新模式放在GREEDYDATA之前。 这仅需要一个新的rpm,而无需更改配置。 这对于测试常方便。 在测试配置中的新模式添加到列表中的grok的前过滤器RSYSLOGMESSAGE如下: %{RSYSLOGPREFIX}%{<something>_MSG}这需要在quattor一个新的rpm和配置改变了。 仅当模式被认为是稳定的时才应执行。
logstash-patterns:记录日志的模式
05-19
对数模式 记录日志的模式 模式 dhcpd 解析ISC DHCPD日志以获取包类型消息。 鸽舍 解析Dovecot日志消息并分解元素。 发展 使用捆绑包安装依赖项 bundle install --path vendor 确保没有损坏的rspec测试 bundle exec rspec 为您的模式编写测试 确保规范中的日志行是匿名的
Logstash参数最全详解
weixin_42073629的博客
11-26 1万+
Logstash参数与配置 Logstash宏观的配置文件内容格式如下: # 输入 input { ... } # 过滤器 filter { ... } # 输出 output { ... } 配置文件参考 input { # 从文件读取日志信息 file { path => "/var/log/error.log" type => "error"//type是给结果增加一个type属性,值为"error"的条目 .
logstash配置文件详解
Lamar's Blog
03-10 4万+
Logstash实际应用配置详解背景业务目的是能够分析nginx和apache每天产生的日志,对url、ip、rest接口等信息进行监控,并将数据发送到elasticsearch服务。
Logstash的插件:
钟明家
05-21 108
input插件: File:从指定的文件中读取事件流; 使用FileWatch(Ruby Gem)监听文件的变化。 .sincedb:记录了每个被监听的文件的inode, major number, minor nubmer, pos; # /etc/logstash/conf.d/fromfile.conf input { file { path => [“/var/log/messa...
ELK学习笔记之Logstash详解
u011250186的博客
08-17 451
ELK学习笔记之Logstash详解
设计模式之——过滤器模式(Filter Pattern)
技匠而已
12-10 3382
设计模式: 前辈们对代码开发经验的总结,是解决特定问题的一系列套路。它不是语法规定。而是一套用来提高代码可复用性、可维护性、可读性、稳健性、以及安全性的解决方案 设计模式的本质是面向对象设计原则的实际运用,是对类的封装性、继承性和多态性以及类的关联关系和组合关系的充分理解。 正确使用设计模式具有以下优点: 可以提高程序员的思维能力、编程能力和设计能力。 使程序设计更加标准化、代码编制更加I程化,使软件开发效率大大提高,从而缩短软件的开发周期。 使设计的代码可重用性高、可读性强、可靠性高、灵活性好、可维护性.
Logstash 插件 logstash-input-pcap 支持使用 libpcap 读取数据
例如,在网络安全、网络故障排查、数据分析等领域,logstash-input-pcap插件可以作为一种高效的工具,将网络数据源整合到ELK(Elasticsearch、Logstash、Kibana)堆栈中,用于日志的收集、处理和可视化。" 知识点: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值