LogStash的Filter的使用

最新推荐文章于 2024-07-06 15:40:41 发布
最新推荐文章于 2024-07-06 15:40:41 发布
阅读量7.7k 收藏 2
点赞数
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
input {
      file{
          path =>  "/XXX/syslog.txt"
          start_position => beginning
          codec => multiline{
              patterns_dir => [ "/XX/logstash-1.5.3/patterns" ]
              pattern =>  "^%{MESSAGE}"
              negate =>  true
              what =>  "previous"
          }
      }
}
filter{
     mutate{
      split => [ "message" , "|" ]
         add_field =>   {
             "tmp"  =>  "%{[message][0]}"
         }
         add_field =>   {
             "DeviceProduct"  =>  "%{[message][2]}"
         }
         add_field =>   {
             "DeviceVersion"  =>  "%{[message][3]}"
         }
         add_field =>   {
             "Signature ID"  =>  "%{[message][4]}"
         }
         add_field =>   {
             "Name"  =>  "%{[message][5]}"
         }
     }
 
     mutate{
      split => [ "tmp" , ":" ]
         add_field =>   {
             "tmp1"  =>  "%{[tmp][1]}"
         }
         add_field =>   {
             "Version"  =>  "%{[tmp][2]}"
         }
         remove_field => [  "tmp"  ]
     }
 
     grok{
        patterns_dir => [ "/XXX/logstash-1.5.3/patterns" ]
        match => { "tmp1"  =>  "%{TYPE:type}" }
        remove_field => [  "tmp1" ]
     }
 
     kv{
        include_keys => [ "eventId" "msg" "end" "mrt" "modelConfidence" "severity" "relevance" , "assetCriticality" , "priority" , "art" , "rt" , "cs1" , "cs2" , "cs3" , "locality" , "cs2Label" , "cs3Label" , "cs4Label" , "flexString1Label" , "ahost" , "agt" , "av" , "atz" , "aid" , "at" , "dvc" , "deviceZoneID" , "deviceZoneURI" , "dtz" , "eventAnnotationStageUpdateTime" , "eventAnnotationModificationTime" , "eventAnnotationAuditTrail" , "eventAnnotationVersion" , "eventAnnotationFlags" , "eventAnnotationEndTime" , "eventAnnotationManagerReceiptTime" , "_cefVer" , "ad.arcSightEventPath" ]
     }
     mutate{
      split => [ "ad.arcSightEventPath" , "," ]
         add_field =>   {
             "arcSightEventPath"  =>  "%{[ad.arcSightEventPath][0]}"
         }
         remove_field => [  "ad.arcSightEventPath"  ]
         remove_field => [  "message"  ]
     }
 
}
output{
     kafka{
         topic_id =>  "rawlog"
         batch_num_messages =>  20
         broker_list =>  "10.3.162.193:39192,10.3.162.194:39192,10.3.162.195:39192"
         codec =>  "json"
     }
     stdout{
        codec => rubydebug
     }

input:接入数据源

filter:对数据源进行过滤

output: 输出的

其中最重要的是filter的处理,目前我们的需求是需要对字符串进行key-value的提取

1、使用了mutate中的split,能通过分割符对分本处理。

2、通过grok使用正则对字符串进行截取处理。

3、使用kv 提取所有的key-value

转载自:http://www.cnblogs.com/qq27271609/p/4762562.html

不断学习的ITer
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Logstash数据处理服务的过滤插件Filter配置详解
江晓龙的博客
07-13 1990
FilterLogstash配置文件中的一部分,也是较为重要的一部分,主要是针对收集来的日志数据做进一步的格式化处理。过滤常用插件:json、kv、grok、geoip、date过滤插件通用配置字段:JSON插件主要用于接收json格式的日志数据,将json数据进行解析,展开成logstash的数据结构,放到日志数据的最顶层通过json插件可以将json格式的日志数据中每一个键和值单独分离出来,方便在kibana上进行数据检索。常用字段配置::指定要解析的字段,一般是日志数据内容messages字段,在这
logstash-filter-multiline
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
Logstash详解之——filter模块
weixin_33895695的博客
08-01 1331
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。 filter{ grok{ #只说一个match属性,他的作用是从message 字段中...
Logstash常用的filter四大插件
最新发布
2402_83805984的博客
07-06 1178
自定义正则匹配格式:(?自定义的正则表达式)可以自定义为。
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
ELK 学习笔记之 Logstashfilter配置
baguashenp74070的博客
09-23 157
Logstashfilter: json filter: input{ stdin{ } } filter{ json{ source => "message" } } output{ stdout{ codec =>...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1600
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
Logstash filter配置
weixin_33912638的博客
01-11 109
2019独角兽企业重金招聘Python工程师标准>>> ...
logstashfilter日期插件
12-15
logstashfilter日期插件,解压,在logstash的Gemfile中添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path ...
logstash-filter-kv
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
logstash使用总结
01-28
### Logstash 使用总结 #### 一、概述 Logstash 是 Elastic Stack(通常称为 ELK Stack,包括 Elasticsearch、Logstash 和 Kibana)中的一个关键组件,主要用于收集、解析和处理日志数据。它具备强大的扩展性和...
logstash-filter-verifier
04-29
Logstash筛选器验证程序已知局限性和未来工作执照 介绍用于收集和处理日志的Logstash程序很流行,通常用于处理syslog消息和HTTP... 这就是Logstash Filter Verifier的来源。它使您可以定义包含输入行以及Logstash的预
【ELK使用指南 2】常用的 Logstash filter 插件详解(附应用实例)
这是博客的简介的简介
10-18 4372
logstash filter模块的常用插件
Logstash~filter通用配置项使用教程(附带实例)
feizuiku0116的博客
04-26 3189
一、add_field 功能:添加字段 介绍:在filter过滤成功之后,可以添加字段,可以添加多个字段,必须写在filter组件内部,可以动态添加字段 filter{ grok{ match => { "message" => "%{NUMBER:number} %{WORD:name}" } add_field => { "f1" => "field1" "f2" =
Logstash filter常用插件详解;
qq_44930876的博客
01-16 1297
Logstash filter常用插件详解;
logstash filter && output 简介
...
07-10 1438
input 详解参考之前的文章 https://blog.csdn.net/gekkoou/article/details/80986017 input 官方详解 https://www.elastic.co/guide/en/logstash/current/input-plugins.html filter 官方详解 https://www.elastic.co/guide/en/l...
Logstash Filter
Yuanshigou9的博客
02-22 644
ELK_Logstash Filter
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 1981
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
logstash filter 使用ruby 重新赋值
05-30
Logstash 的 `filter` 阶段中,可以使用 Ruby 进行各种数据处理操作,包括重新赋值。例如,可以使用 Ruby 的赋值语句将一个字段的值更改为另一个值。 以下是一个简单的示例,使用 Ruby 的赋值语句将 `message` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值