轻松掌握Logstash的grok匹配

最新推荐文章于 2024-07-02 16:31:02 发布
最新推荐文章于 2024-07-02 16:31:02 发布
阅读量7.5k 收藏 22
点赞数 4
分类专栏: 大数据开发 文章标签: logstash grok
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y277an/article/details/104897900
版权

Logstash的filter插件在7.5.1版本中,有多达46种。介绍filter插件的官网地址,感兴趣的话可以自行研究,点此跳转

本文主要讲解filter插件中的grok。通过在filter中使用grok,可以把日志中的关键字快速匹配出来。

grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。

Grok Debugger在线匹配正则

推荐一款在线匹配正则的网站——Grok Debugger,点此跳转

该网站界面如下:

grok在线调试

在上面的框输入你要匹配的字符串,下面的框输入正则表达式,在最下面就会自动显示匹配结果。

1. grok自定义正则匹配

grok自定义正则匹配的语法:(?<字段名>正则表达式),示例如下。

自定义正则匹配

正则化的内容是截取"uuid=“和”%或者&&&&"中间的字段。

再来几组正则化感受下,正则化各语言差不多,写得多了自然熟悉了

(?<temMsg>(.*)(?=Report)/?) 获取Report之前的字符
(?<temMsg>(?=Report)(.*)/?) 获取Report之后的字符
(?<temMsg>(?<=report).*?(?=msg)) 截取report和msg之间的值 不包含report和msg本身
(?<temMsg>(report).*?(?=msg)) 截取包含report但不包含msg
(?<temMsg>(?<=report).*?(msg)) 截取不包含report但包含msg
(?<temMsg>(report).*?(msg|request)) 输出以report开头,以msg或者以request结尾的所有包含头尾信息
(?<temMsg>(report).*?(?=(msg|request))) 输出以report开头,以msg或者以request结尾的不包含头尾信息

2. grok模式表达式

grok模式表达式的语法是%{模式类型:变量名},如%{IP :ip_from}将匹配一段IP地址,并且命名为ip_from。其中,变量名不是必须的。示例如下:

模式表达式匹配

为了方便理解,下面列举一些常用的grok模式,更多grok模式点此跳转github链接。常用的模式匹配,都在这个链接里的"grok-patterns"子目录。

IP —— 匹配IP地址,IPv4和IPv6都可以
// ipv4如:127.0.0.1
// ipv6如:FB21:1233:55B2:AA44:12B8:6761:890F:AB31
MAC —— MAC地址
// 如:08:00:20:0A:8C:6D
DATA —— 相当于正则的.*?
// . 匹配除\n和空格以外的任何字符
// * 相当于0-正无穷
// ? 为懒惰模式,匹配到第一个就结束

// 实测DATA用在正则化的最后是无法匹配到任何字符的,这个时候可以考虑用WORD等代替。
WORD —— 等价于 \b\w+\b,匹配包含数字和大小写的字符串
// 如:hello_world、String、 I_love_code
QUOTEDSTRING 或 QS —— 带引号的字符串
// 如 "hey, girls!"
EMAILADDRESS —— 电子邮件地址
// 如:admin@example.com
EMAILLOCALPART —— 匹配电子邮件的用户名部分
/*
* 首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=\:\)组成的字符串
* 注意,国内的QQ纯数字邮箱账号是无法匹配的

// 如:admin@example.com 匹配 admin
USERNAME 或 USER —— 匹配用户名
/*
* 由数字、大小写及特殊字符(._-)组成的字符串
*/

// 如:admin、ec2-user
数字类型格式
INT         //正整数、0、负整数都可,如 -1234、0、12412
BASE10NUM 或 NUMBER  //十进制数,包括整数和小数,如: 345、 3.1415926
BASE16NUM   //十六进制整数,如:0xa12F、0xDc34
BASE16FLOAT //十六进制数字,包括整数和小数
UUID —— 标准唯一识别码
// 如: 9584dba3-fe26-418d-8625-2d71a5d78049
主机名称格式
HOSTNAME      //主机名,如www.baidu.com
IPORHOST        // IP或者主机名称
HOSTPORT        //主机名+端口号,127.0.0.1:8080
PATH —— 路径格式的字符串
// 如: /home/ec2-user/docker_config
日期时间表达式
MONTH       //月份名称,如:Jan、January
MONTHNUM    //月份数字,如:06、1、12
MONTHDAY    //日期数字,如:15、29、31、09
DAY         //星期几,如:Tues、Friday
YEAR        //年份数字,如:2017、1995
HOUR        //小时数字,如:24、13
MINUTE      //分钟数字,如:13、59
SECOND      //秒钟数字,如:12、54
TIME        //时间,如:12:34:12
DATE_US     //美国日期格式,如:10-15-1982、10/15/1982
DATE_EU     //欧洲日期格式,如:15-10-1982、15.10.1982
TIMESTAMP_ISO8601 //ISO8601时间戳格式,如:2016-07-03T00:34:06+08:00
LOGLEVEL —— 日志等级
// 如:Info、Error、Warning

最后,限于笔者经验水平有限,欢迎读者就文中的观点提出宝贵的建议和意见。如果想获得更多的学习资源或者想和更多的是技术爱好者一起交流,可以关注我的公众号『全菜工程师小辉』后台回复关键词领取学习资料、进入后端技术交流群和程序员副业群。同时也可以加入程序员副业群Q群:735764906 一起交流。

哎呀,如果我的名片丢了。微信搜索“全菜工程师小辉”,依然可以找到我

全菜工程师小辉
关注
专栏目录
使用Logstash过滤插件Grok实现多模式匹配
江晓龙的博客
07-13 1939
一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。grok多模式语法格式: 1)首先编写正则表达式分别匹配出两个数据的字段 2)配置logstash使用grok多模式匹配 成功的将两种不同类型
【ELK】grok正则匹配
没枕头我咋睡觉
01-27 1745
1、Grok简介: groklogstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置
weixin_45357522的博客
11-24 2088
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。
Logstash——grok
最新发布
Lzcsfg的博客
07-02 1118
1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端并存储到esinput {tcp {filter {grok {output {stdout {​1、由tcp 的8888端口将日志发送到logstash2、数据被grok进行正则匹配处理3、处理后,数据将被打印到终端input {tcp {filter {grok {output {stdout {​INT (?:[+-]?:[0-9]+))
logstash grok匹配
weixin_34138139的博客
07-03 134
2019独角兽企业重金招聘Python工程师标准>>> ...
ELK logstash gork匹配在线测试
夏已微凉、
09-28 5242
1、在线调试2、kibana 中调试 1、在线调试 grok debugger 在线调试 内容 [2020-09-26 08:34:41] 127.0.0.1 GET local.test.com:8010/index/index/test?name=张三&id=9 0.412191 [ info ] 信息异常 正则 [\s\S]*\]\s(?<client_ip>[0-9\.]+)\s(?<method>[A-Za-z]+)\s(?<url>[^\s.
logstash grok在线验证地址
11111
05-08 1万+
国内:http://grokdebug.herokuapp.com/国外:http://grokdebug.herokuapp.com/
logstash判断是否匹配_logstash.conf匹配案例
weixin_39793189的博客
12-20 455
logstash 配置参考# ###################################################################### DESC: Logstash configuration file. Typically forwarding logs to# Elasticsearch instance.# ##################...
logstash汇总整理.rar
05-11
这个压缩包“logstash汇总整理.rar”似乎包含了一份详细的学习资料,旨在帮助用户深入了解和掌握 Logstash 的使用。 在Logstash的工作流程中,它主要通过输入(inputs)、过滤(filters)和输出(outputs)插件来...
深入理解grok-1的模式匹配原理
通过Grok,用户可以定义自定义的模式来匹配和解析日志中的信息,从而更轻松地分析和提取所需数据。Grok拥有丰富的预定义模式,同时也支持用户自定义模式,使其在解析各种类型的日志时都能发挥作用。对于日志分析和...
Grok:深入解析日志与数据的强大工具.zip
03-19
例如,通过Grok解析Web服务器日志,我们可以轻松地获取到请求方法、URL、状态码、用户代理等关键信息,这对于性能监控、安全审计以及故障排查等工作具有极大的价值。 三、使用Grok的工具 1. Logstash:这是一个...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Logstash原理介绍及应用
weixin_40055163的博客
10-25 191
Logstash原理介绍及应用 logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好,非常简洁强大,经常与ElasticSearch,Kibana配置,组成著名的ELK技术栈,非常适合用来做日志数据的分析。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如 MySQL,redis,kakfa,HDFS, lucene,solr等,并不一定是ElasticSearch。 1 Logstash安装 1.L
日志搜集、过滤及推送处理框架logstash及fluentd总结
热门推荐
benpaobagzb的博客
03-16 1万+
简介 Logstash是一个接收,处理,转发日志的工具。支持系统日志,webserver日志,错误日志,应用日志,总之包括所有可以抛出来的日志类型。怎么样听起来挺厉害的吧? 在一个典型的使用场景下(ELK):用Elasticsearch作为后台数据的存储,kibana用来前端的报表展示。Logstash在其过程中担任搬运工的角色,它为数据存储,报表查询和日志解析创建了一个功能强大的管道链。Lo
logstashgrok解析
我的祖传代码
01-17 2859
原始日志文件 [2019-01-14 00:02:11] [INFO] - com.test.pushTest(PushMessageExecutor.java:103) - 消息推送结果:响应状态(200)、状态描述(成功。)、响应反馈()、请求响应耗时(232ms),deviceToken:7b64436eeea34a3ab4e0873b0682ad98e,userId:1659034,a...
logstashgrok插件作为日志解析工具,如何自定义正则表达式来匹配字符
天草二十六
04-09 1394
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
ELK-logstashgrok自定义正则匹配日志
weixin_33774615的博客
12-05 972
说明:笔者也是因为应工作需要去学习了大概2个月的ELK1.需求在收集日志的时候往往都需要需要分析日志需要一些自己特定的字段去匹配我们需要的字段内容,以下我会根据一个列子去说明一下去如何使用logstash去自定义正则2.需要具备哪些?可以自定义正则?(1)需要了解普通的正则,如果不会可以去廖雪峰官网去看看他的Python有讲正则的(我是从他那学的正则)(2)需要会使用grok...
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2798
文章目录前言一、grok-patterns二、自定义grok-patterns(正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
logstash判断是否匹配_logstash 正则表达式
weixin_39708557的博客
12-20 566
正则表达式3. 使用给定好的符号去表示某个含义4. 例如.代表任意字符5. 正则符号当普通符号使用需要加反斜杠正则的发展6. 普通正则表达式7. 扩展正则表达式普通正则表达式. 任意一个字符* 前面一个字符出现0次或者多次[abc] 中括号内任意一个字符[^abc] 非中括号内的字符[0-9] 表示一个数字[a-z] 小写字母[A-Z] 大写字母[a-zA-Z] 所有字母[a-zA-Z0-9]...
logstash grok
10-02
Grok是一种流行的日志解析语言,可以用于在Logstash或者Ingest Pipeline中解析日志数据。你可以使用Grok插件来解析日志数据,并将其转换为结构化格式,以便更好地进行日志管理和分析。通过定义自定义的Grok模式,你可以匹配和提取日志中的特定字段,将它们存储到指定的字段中。 要在Logstash中使用Grok模式,你需要执行以下步骤: 1. 在Logstash配置文件中,添加一个input模块来读取日志数据源。 2. 在filter模块中使用grok插件,并定义你的自定义Grok模式。 3. 配置output模块来指定解析后的日志数据的目的地。 在Ingest Pipeline中使用Grok模式也类似,你可以在Pipeline的Grok处理器中定义自定义的Grok模式,并将其应用于输入的日志数据。通过定义适当的处理器和管道,你可以将解析后的日志数据发送到指定的目标。 在Logstash和Ingest Pipeline中使用Grok模式,可以帮助你快速准确地解析和处理日志数据,提取出你所需的字段。这可以帮助你更好地理解和分析日志,从而支持更好的日志管理和故障排查。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值