ELK集群部署(九)之logstash过滤规则

已于 2022-07-04 13:16:08 修改
阅读量690 收藏 2
点赞数
分类专栏: ELK 文章标签: elk java 数据库
于 2022-07-02 09:47:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58400622/article/details/125569349
版权

logstash过滤规则

标准输入
定制过滤规则
标准输出到屏幕

test.yml模板
input{
   stdin {}
}

filter{
   mutate{xxxxxx} # 不同的过滤需求,需要替换这里的内容
}

output{
   stdout {
      codec => rubydebug
   }
}

====================================================================

grok{“message” => “\s+(?<request_time>\d+(?.\d+)?)\s+”}

结果

{
        "@version" => "1",
         "message" => "hello 23132.4245435 Jason",
            "host" => "node-2",
      "@timestamp" => 2022-05-20T05:49:55.054Z,
          "second" => ".4245435",
    "request_time" => "23132.4245435"
}

grok{“message” => “%{WORD} %{NUMBER:request_time:float} %{WORD}”}
结果

{
            "host" => "node-2",
        "@version" => "1",
    "request_time" => 123.456,
      "@timestamp" => 2022-05-20T05:55:14.774Z,
         "message" => "begin 123.456 end"
}

分割字符串

mutate{ split => ["message","|"]}
输入123|345|jason|long|darcy

结果
{
       "message" => [
        [0] "123",
        [1] "345",
        [2] "jason",
        [3] "long",
        [4] "darcy"
    ],
          "host" => "node-2",
      "@version" => "1",
    "@timestamp" => 2022-05-20T06:36:46.494Z
}

join只对数组类型字段有效,先分割,替换分隔符再合并

mutate{ split => [“message”,“|”]}
mutate{ join => [“message”,“,”]}
输入123|345|jason|long|darcy
结果

{
       "message" => "123,345,jason,long,darcy",
          "host" => "node-2",
      "@version" => "1",
    "@timestamp" => 2022-05-20T06:41:19.607Z
}

字符串拼接

mutate{ split => [“message”,“|”]}
mutate{ merge => [“message”,“host”]}
输入123|345|jason|long|darcy
结果

{
          "host" => "node-2",
       "message" => [
        [0] "123",
        [1] "345",
        [2] "jason",
        [3] "long",
        [4] "darcy",
        [5] "node-2"
    ],
      "@version" => "1",
    "@timestamp" => 2022-05-20T06:48:01.814Z
}

strip去除字段前后的空格

mutate{strip => [“message”]}
输入 jason 注意前后都有多个空格

结果

{
          "host" => "node-2",
      "@version" => "1",
       "message" => "jason",
    "@timestamp" => 2022-05-20T06:54:02.590Z
}

rename字段重命名

mutate{ rename => [“host”, “newhost”]}
输入 jason 注意前后都有多个空格
结果

{
       "message" => "jason",
    "@timestamp" => 2022-05-20T06:57:07.478Z,
      "@version" => "1",
       "newhost" => "node-2"
}

split一行拆分成多个事件

split{field=>“message” terminator=>“#”}
输入test1#test2

{
    "@timestamp" => 2022-05-20T07:14:19.414Z,
          "host" => "node-2",
       "message" => "test1",
      "@version" => "1"
}
{
    "@timestamp" => 2022-05-20T07:14:19.414Z,
          "host" => "node-2",
       "message" => "test2",
      "@version" => "1"
}

交叉日志合并多行日志

 filter {
   grok {
     match => [ "message", "%{LOGLEVEL:loglevel} - %{NOTSPACE:taskid} - %{NOTSPACE:logger} - %{WORD:label}( - %{INT:duration:int})?" ]
   }

   if [logger] == "TASK_START" {
     aggregate {
       task_id => "%{taskid}"
       code => "map['sql_duration'] = 0"
       map_action => "create"
     }
   }

   if [logger] == "SQL" {
     aggregate {
       task_id => "%{taskid}"
       code => "map['sql_duration'] += event.get('duration')"
       map_action => "update"
     }
   }

   if [logger] == "TASK_END" {
     aggregate {
       task_id => "%{taskid}"
       code => "event.set('sql_duration', map['sql_duration'])"
       map_action => "update"
       end_of_task => true
       timeout => 120
     }
   }
 }

依次输入
INFO - 12345 - TASK_START - start
INFO - 12345 - SQL - sqlQuery1 - 12
INFO - 12345 - SQL - sqlQuery2 - 34
INFO - 12345 - TASK_END - end

结果

{
          "label" => "end",
   "sql_duration" => 46,
           "host" => "node-2",
       "loglevel" => "INFO",
         "taskid" => "12345",
         "logger" => "TASK_END",
     "@timestamp" => 2022-05-20T07:43:34.820Z,
       "@version" => "1",
        "message" => "INFO - 12345 - TASK_END - end"
}

参考官网https://www.elastic.co/guide/en/logstash/current/plugins-filters-aggregate.html

发送邮件

input{
   stdin {}
}

output{
   stdout {
      codec => rubydebug
   }
   email{
    to => "jasonxxx@foxmail.com"
    from => "logstash@qq.com"
    subject => "Alert - %{+YYYY-MM-dd HH:mm:ss}"
    body => "Tags: Test\n\nContent:\n%{message}"
    port => 25
  }

}

直接用上面的模板,logstash就可以发送邮件
攻城狮JasonLong
关注
专栏目录
ELK 集群部署
随笔亦行
09-25 2732
ELK 分为三部分组成: elasticsearch、logstach、kibanaelasticsearch: elasticsearch是个分布式搜索和分析引擎,能对大容量的数据进行接近实时的存储、搜索和分析操作logstash :数据收集引擎支持动态从各种数据源收集数据,并对数据进行过滤、分析丰富的统一格式等操作,然后存储到指定位置,这里将数据发送给elasticsearch,logstash具有强大的插件功能用于日志处理。
elk集群部署手册
08-22
**ELK集群部署手册** ELK(Elasticsearch, Logstash, Kibana)是用于日志管理和分析的流行开源工具栈。这个集群部署手册将详细介绍如何构建和配置ELK集群,以便有效地处理、解析、存储和展示大量日志数据。 ### ...
logstash-filter-example:示例过滤器插件。 这应该有助于引导您编写自己的过滤器插件!
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础结构来自动为此插件构建文档。 我们提供了一个模板文件 index.asciidoc,您可以在其中添加文档。 该文件的内容将被转换为 html,然后与其他插件文档一起放在一个。 对于格式化配置示例,可以使用asciidoc [source,json]指令 有关更多 asciidoc 格式提示,请参阅此处的优秀参考 需要帮忙? 需要帮忙? 在 freenode IRC 或论坛上尝试 #logstash。 发展 一、插件开发与测试 代码 首先,您需要安装了 Bundler gem 的 JRuby。 从 GitHub 组织创建一个新插件或克隆并存在。 我们还提供。 安装依赖 bundle install 测试 更新您的依
logstash 过滤配置
cajole_zero的博客
02-25 1305
#beats 不支持codec #codec=>multiline{ # pattern => "^\d{4}-\d{2}-\d{2}\s*\d{2}:\d{2}:\d{2}\.\d{3}" # negate => true # what => "previous" #} #logstash的插件 #multiline { # pattern => "^\[" # negate => true # what => "previous" #} 数据流入配置 inp
logstash详解
最新发布
qq_44027353的博客
08-16 1601
Logstash通过管道完成数据的采集与处理,管道配置中包含input、output和filter(可选)插件,input和output用来配置输入和输出数据源、filter用来对数据进行过滤或预处理。Logstash 是免费且开放的服务器端数据处理管道,能够从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的存储库中。通过Logstash过滤器解析各个事件,识别已命名的字段来构建结构,并将它们转换成通用格式,最终将数据从源端传输到存储库中。机器宕机,数据也不会丢失;
logstash收集***日志只过滤出用户名和时间和ip的规则
工具人的博客
09-04 1753
openvpn日志过滤规则,只取需要的数据input { file { path => "/etc/openvpn/openvpn.log" start_position => "beginning" } } filter { grok { match => ["message","%{WORD:TIME} %{W
Logstash过滤详解(一知半解)
zlhmeng的博客
09-26 7092
“我就于茫茫人海中寻我唯一灵魂之伴侣,得之吾幸,失之吾命,如此而已” 搭建ELK时,在Logstash花费了很多的时间,最后也算是摸得个一知半解,话不多说,开始搬砖, 安装不多说,还没搭建的点击→传送门 编辑配置文件 # Sample Logstash configuration for creating a simple # Beats -> Logstash -> Elastic...
logstash配置文件中filter方法介绍
qq_37647812的博客
07-17 986
logstash配置文件中filter方法介绍
ELK集群部署(elasticsearch\logstash\kibana)
01-18
ELK堆栈,即Elasticsearch、...总的来说,ELK堆栈提供了全面的日志管理解决方案,而集群部署则增强了其在大规模环境下的稳定性和效率。通过精心规划和配置,你可以利用ELK有效地监控系统健康、排查问题并优化运营。
ELK集群部署手册
11-11
ELK集群部署手册》详述了如何搭建和运用ELK(日志分析系统),它由Elasticsearch、Logstash和Kibana三个组件构成,是处理和分析日志的强大工具链。本篇将深入探讨这三个组件的功能以及集群部署过程。 Elasticsearch...
ELK集群部署教程:Elasticsearch+Logstash+Kibana详解
总结来说,这份文档指导读者如何在一个Linux环境中安装并配置ELK集群,涉及从软件包获取、环境设置到具体组件的部署和配置,以实现日志的收集、存储、管理和可视化。对希望在企业级环境中实施日志分析系统的IT专业...
logstash使用总结
01-28
ELKLogstash使用配置,文档主要描述如何使用logstash进行数据规则配置过滤
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
ELK kibana查询与过滤
ronon77的专栏
12-24 1091
在kibana中,可通过搜索查询过滤事务或者在visualization界面点击元素过滤。 创建查询 在Discover界面的搜索栏输入要查询的字段。查询语法是基于Lucene的查询语法。允许布尔运算符、通配符和字段筛选。注意关键字要大写。如查询类型是http,且状态码是302。type: http AND http.code: 302。 字符串查询 查询可以包含一个或多个字或者短语...
logstash grok内置规则
weixin_34384681的博客
09-25 691
logstash grok 内置正则 https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?...
Logstash学习5_[logstash/patterns/grok-patterns]Logstash grok 内置正则
wang_zhenwei的博客
11-10 3490
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+))) NUMBER (?:%{BASE10NUM}) BASE16NUM (? BASE16FLOAT \b(? POSINT \b(
(六)ELK系列之logstash过滤机制及相关策略编写
hobby云说
11-29 354
持续更新中,敬请期待......
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 2156
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
Logstash 输入,过滤器,输出
App20134833944的博客
03-09 2106
mutate插件是用来处理数据的格式的,你可以选择处理你的时间格式,或者你想把一个字符串变为数字类型(当然需要合法),同样的你也可以返回去做。ruby插件可以使用任何的ruby语法,无论是逻辑判断,条件语句,循环语句,还是对字符串的操作,对EVENT对象的操作,都是极其得心应手的。这个插件也是极其好用的一个插件,现在我们的日志信息,基本都是由固定的样式组成的,我们可以使用json插件对其进行解析,并且得到每个字段对应的值。在这里我只介绍如何输出到ES,至于如何输出到端口和指定文件,有很多的文档资料可查找.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

攻城狮JasonLong

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值