ELK 之logstash filter grok常见内置模式

于 2024-08-05 22:55:58 发布
阅读量374 收藏 7
点赞数 6
分类专栏: ELK Stack 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46546303/article/details/140938828
版权

通用模式

  • GREEDYDATA: 贪婪匹配任意字符串。
示例:This is a sample log message
模式:%{GREEDYDATA:message}
  • DATA: 匹配任意字符串,非贪婪(尽量少匹配)。
示例:This is a sample log message
模式:%{DATA:message}

时间与日期

  • TIMESTAMP_ISO8601: 匹配 ISO 8601 格式的时间戳。
示例:2023-10-05T10:00:00.123Z
模式:%{TIMESTAMP_ISO8601:timestamp}
  • HTTPDATE: 匹配 HTTP 日志中的日期格式。
示例:05/Oct/2023:10:00:00 +0000
模式:%{HTTPDATE:timestamp}
  • DATESTAMP_RFC822: 匹配 RFC 822 格式的日期。
示例:02 Jun 1982 00:00:00 GMT
模式:%{DATESTAMP_RFC822:timestamp}
  • DATESTAMP_RFC2822: 匹配 RFC 2822 格式的日期。
示例:Thu, 21 Dec 2000 16:01:07 +0200
模式:%{DATESTAMP_RFC2822:timestamp}
  • DATE: 匹配日期。
示例:2023-10-05
模式:%{DATE:date}
  • TIME: 匹配时间。
示例:10:00:00
模式:%{TIME:time}
  • DATESTAMP_OTHER: 匹配其他常见的日期格式。
示例:2023-10-05 10:00:00,123
模式:%{DATESTAMP_OTHER:timestamp}

数字与字符串

  • NUMBER: 匹配数字(整数或浮点数)。
示例:1234
模式:%{NUMBER:number}
  • BASE10NUM: 匹配十进制数字(浮点数)。
示例:123.45
模式:%{BASE10NUM:number}
  • WORD: 匹配一个单词(不包含空格的字母数字字符串)。
示例:GET
模式:%{WORD:word}
  • NOTSPACE: 匹配非空格字符。
示例:GET
模式:%{NOTSPACE:word}
  • INT: 匹配整数。
示例:1234
模式:%{NUMBER:number}
  • DATA: 匹配任意字符串,非贪婪(尽量少匹配)。
示例:This is a sample log message
模式:%{DATA:message}
  • GREEDYDATA 贪婪匹配任意字符串。
示例:This is a sample log message
模式:%{GREEDYDATA:message}

网络相关

  • IP: 匹配 IPv4 或 IPv6 地址。
示例:192.168.1.1
模式:%{IP:client_ip}
  • HOSTNAME: 匹配主机名。
示例:localhost
模式:%{HOSTNAME:hostname}
  • MAC: 匹配 MAC 地址。
示例:00:0a:95:9d:68:16
模式:%{MAC:mac_address}
  • HOSTPORT: 匹配 IP 地址和端口。
示例:192.168.1.1:80
模式:%{HOSTPORT:hostport}
  • IPV4: 匹配 IPv4 地址。
示例:192.168.1.1
模式:%{IPV4:client_ip}

文件与路径

  • PATH: 匹配文件路径。
示例:/var/log/syslog
模式:%{PATH:file_path}
  • URIPATH: 匹配 URI 路径。
示例:/index.html
模式:%{URIPATH:request_path}
  • URIPARAM: 匹配 URI 参数。
示例:id=123&name=John
模式:%{URIPARAM:request_params}
  • URI: 匹配完整的 URI。
示例:http://example.com/index.html?id=123&name=John
模式:%{URI:uri}

代理与用户代理

  • USER: 匹配用户名。
示例:jdoe
模式:%{USER:username}
  • UUID: 匹配 UUID。
示例:550e8400-e29b-41d4-a716-446655440000
模式:%{UUID:uuid}

HTTP 相关

  • HTTPVERB: 匹配 HTTP 动词(方法)。
示例:GET
模式:%{HTTPVERB:method}
  • HTTPPROTOVERSION: 匹配 HTTP 协议版本。
示例:1.1
模式:%{HTTPPROTOVERSION:version}

Apache/Nginx 日志

  • COMMONAPACHELOG: 匹配 Apache 访问日志的常见格式。
示例:127.0.0.1 - frank [10/Oct/2000:13:55:36 -0700] "GET /apache_pb.gif HTTP/1.0" 200 2326
模式:%{COMMONAPACHELOG}
  • COMBINEDAPACHELOG: 匹配 Apache 访问日志的综合格式,包含用户代理和引用。
示例:127.0.0.1 - frank [10/Oct/2000:13:55:36 -0700] "GET /apache_pb.gif HTTP/1.0" 200 2326 "http://www.example.com/start.html" "Mozilla/4.08 [en] (Win98; I ;Nav)"
模式:%{COMBINEDAPACHELOG}

Syslog 日志

  • SYSLOGTIMESTAMP: 匹配 syslog 时间戳。
示例:Oct 11 22:14:15
模式:%{SYSLOGTIMESTAMP:timestamp}
  • SYSLOGPROG: 匹配 syslog 程序名和进程 ID。
示例:appname[1234]
模式:%{SYSLOGPROG:program}
  • SYSLOGLINE: 匹配标准的 syslog 日志格式。
示例:<13>Oct 11 22:14:15 hostname appname[1234]: This is a syslog message
模式:%{SYSLOGLINE}

其他模式

  • EMAILADDRESS: 匹配电子邮件地址。
示例:example@example.com
模式:%{EMAILADDRESS:email}

QUOTEDSTRING: 匹配带引号的字符串。

示例:"This is a quoted string"
模式:%{QUOTEDSTRING:quoted_string}
在产线打螺丝
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK——Logstash filter的使用和Kibana应用
w1206507055的博客
06-18 824
Logstash filter 的使用和Kibana应用
logstash-filter-grok-4.0.4.zip
01-15
Logstash 是一个强大的开源数据收集、处理和转发引擎,它属于 ELK (Elasticsearch, Logstash, Kibana) 堆栈的一部分,广泛应用于日志管理和数据分析领域。GrokLogstash 中的一个核心过滤器插件,专门用于解析和...
ELKLogStash插件grok和geoip的配置使用
一掬净土
10-17 622
后,往 /tmp/access.log 中新增一条数据,看输出:发现"clientip" 变成了 “cip” 和timestamp agent 字段已经没有了。后,往 /tmp/access.log 中新增一条数据,看输出:发现输出结果中新增了。geoip插件可以针对IP地址进行地理位置信息来源的查找。字段,并展示了地区、国家、省份、经纬度等地理位置信息。使用geoip过滤器插件,可以增强数据。
Logstash filter grok正则的使用及介绍
qq_43164571的博客
09-08 1622
2.使用Logstash内置的正则案例1 3.使用Logstash内置的正则案例1 4.使用logstash自定义的正则案例 5.filter插件通用字段案例 6.data插件修改写入file的时间 7.geoip分析源地址的地址位置 8.useragent分析客户端的设备类型 9.mutate组件数据准备-python脚本 10.mutate组件常用字段案例 11.logstash的多if分支案列 12.今日作业
ELK-logstashgrok解析耗时优化
l2000h_ing的专栏
09-05 1616
日志文件数据 I0902 05:56:12.855851 1 trace.go:76] Trace[540753199]: "GuaranteedUpdate etcd3: *core.Node" (started: 2018-09-02 05:56:11.933514274 +0000 UTC m=+171.998961960) (total time: 922.28044ms...
ELK - Logstash - Grok filter plugin
chuckchen1222的博客
12-27 303
解析任意文本。 Grok是一种将非结构化日志数据解析为结构化和可查询内容的好方法。该工具非常适合于syslog日志、apache和其他web服务器日志、mysql日志,以及一般情况下任何为人类编写的日志格式,而不适合于计算机使用。   Grok or Dissect ? Or both? dissect filter plugin是使用分隔符将非结构化事件数据提取到字段中的另一种方法。 ...
Logstash——grok
Lzcsfg的博客
07-02 953
1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端并存储到esinput {tcp {filter {grok {output {stdout {​1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端input {tcp {filter {grok {output {stdout {​INT (?:[+-]?:[0-9]+))
LogstashGrok filter 入门
Elastic 中国社区官方博客
05-04 7935
有效分析和查询送入ELK堆栈的数据的能力取决于信息的可读性。 这意味着,当将非结构化数据摄取到系统中时,必须将其转换为结构化消息行。 通常,这个忘恩负义但至关重要的任务留给Logstash(尽管还有其他日志传送器可用,请参阅我们对Fluentd与Logstash的比较作为一个示例)。 无论你定义什么数据源,都必须提取日志并执行一些魔术来美化它们,以确保在将它们输出到Elasticsearch之前...
ELK logstash过滤插件Grok的使用
小楼一夜听春雨,深巷明朝卖杏花
12-22 710
过滤插件:Grok 如果业务项目都能够按照json格式输出的话那么处理起来会很容易,那么使用之前的json插件就可以快速解析为结构化的数据。但是有些日志的格式就不符合json格式也不能自定义,那么kv json插件就用不到的。 Grok插件可以支持正则,能够从非结构化的日志当中提取出关键字段,负责将非结构化数据解析为结构化的数据,logstash默认支持了很多正则 Grok插件:如果采集的日志格式是非结构化的,可以写正则表 达式提取,grok是正则表达式支持的实现。 常用字段: match 正则匹
ELKLogstash grok 预定义字段
欢迎来到Dangks的博客!
03-08 1165
Logstash grok 预定义字段,正则表达式解释与使用。 USERNAME;[a-zA-Z0-9._-]+;用户名,由数字、大小写及特殊字符 ._- 组成的字符串。INT;(?:[+-]?(?:[0-9]+)); 整数,包括0和正负整数。BASE10NUM;(?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)));十进制数字,包括整数和小数。
elk部署需要的工具logstash
08-30
Logstash 是 Elastic Stack 的核心组件之一,用于收集、解析、过滤和传输各种日志数据。在ELK(Elasticsearch, Logstash, Kibana)堆栈中,它扮演着数据收集器的角色,将来自不同源的日志数据转换并发送到Elastic...
elasticsearch+kibana+logstash ELK资料整理
05-11
2. **过滤器插件**: 可以对数据进行解析、转换、删除或添加字段,例如 grok filter 用于解析日志格式。 3. **输出插件**: 包括 Elasticsearch 输出,将处理好的数据写入 Elasticsearch,还有其他如 Redis、Kafka 等...
ELK( ElasticSearch、Logstash和Kiabana)
07-20
开源实时日志分析ELK平台能够完美的解决日志收集和日志检索、分析的问题,ELK就是指ElasticSearch、Logstash和Kiabana三个开源工具。 因为ELK是可以跨平台部署,因此非常适用于多平台部署的应用。 二 环境准备 1...
logstash监听交换机端口区分不通网络设备型号
11-25
在IT监控领域,Logstash 常常与 ELK (Elasticsearch, Logstash, Kibana) 堆栈结合使用,用于日志管理和可视化。在这个特定的场景中,Logstash 被配置来监听交换机的端口,以区分不同类型的网络设备。 首先,让我们...
ELK日志系统
yexiaoyex的博客
08-04 353
ELK是一套完整的日志集中处理方案。E:ElasticSearck ES 分布式索引型非关系数据库 存储logstash输出的日志 全文检索引擎,保存的格式是json格式L:logstash 基于java语言开发的,数据收集引擎。日志的收集,可以对数据进行过滤,分析,汇总,以标准格式输出K:Kiabana 是es的可视化工具。对es存储的数据进行可视化展示,分析和检索。ELK F KF。
ELK+filebeat
XH722DF的博客
08-02 819
一、filebeat概述1、filebeat概念:filebeat日志收集工具和logstash相同filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。为什么要用filebeat来收集日志?
笔记222222222222222222222222222222
最新发布
08-04
笔记222222222222222222222222222222
仿拉钩App小程序.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值