logstash的grok插件作为日志解析工具,如何自定义正则表达式来匹配字符

最新推荐文章于 2024-05-11 06:39:44 发布
最新推荐文章于 2024-05-11 06:39:44 发布
阅读量1.2k 收藏 11
点赞数 30
文章标签: 正则表达式 graylog 容器 服务器 linux logback elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuganlai168/article/details/137547854
版权

一、背景

grok作为解析解析工具,本身支持很多种类的日期格式,但是我们的日期格式是:yyyy-MM-dd HH:mm:ss.SSS,比如2024-04-08 16:27:31.855。

  • TIMESTAMP_ISO8601: 匹配ISO 8601日期时间格式,例如2024-04-08T10:41:48Z。
  • DATE: 匹配常见的日期格式,例如Apr 8, 2024。
  • TIMESTAMP: 匹配多种日期时间组合格式,例如Apr 8 10:41:48。
  • TIMESTAMP_SEC: 匹配以秒为单位的UNIX时间戳,例如1617924862。
  • TIMESTAMP_MSEC: 匹配以毫秒为单位的UNIX时间戳,例如1617924862123。
  • TIMESTAMP_USEC: 匹配以微秒为单位的UNIX时间戳,例如1617924862123456。
  • TIMESTAMP_NSEC: 匹配以纳秒为单位的UNIX时间戳,例如1617924862123456789。
  • DATE_TIME: 匹配日期和时间的组合,例如2024-04-08 10:41:48。
  • DATE_TIME_TZ: 匹配带有时区信息的日期和时间组合,例如2024-04-08T10:41:48+02:00。
  • DATE_TIME_TZ_OFFSET: 匹配带有时区偏移量的日期和时间组合,例如2024-04-08 10:41:48 GMT+02:00。
  • EPOCH: 匹配从1970年1月1日开始的秒数,例如1617924862。
  • EPOCH_MS: 匹配从1970年1月1日开始的毫秒数,例如1617924862123。

二、grok增加自定义正则表达式

grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns

在这里插入图片描述

bash-4.2$ ls -la
total 112
drwxrwsr-x 2 logstash root   335 Oct 16  2020 .
drwxrwsr-x 4 logstash root   176 Oct 16  2020 ..
-rw-rw-r-- 1 logstash root  1831 Oct 16  2020 aws
-rw-rw-r-- 1 logstash root  4831 Oct 16  2020 bacula
-rw-rw-r-- 1 logstash root   260 Oct 16  2020 bind
-rw-rw-r-- 1 logstash root  2154 Oct 16  2020 bro
-rw-rw-r-- 1 logstash root   879 Oct 16  2020 exim
-rw-rw-r-- 1 logstash root 10095 Oct 16  2020 firewalls
-rw-rw-r-- 1 logstash root  5338 Oct 16  2020 grok-patterns
-rw-rw-r-- 1 logstash root  3251 Oct 16  2020 haproxy
-rw-rw-r-- 1 logstash root   987 Oct 16  2020 httpd
-rw-r--r-- 1 root     root  1388 Apr  9 09:19 java
-rw-rw-r-- 1 logstash root  1087 Oct 16  2020 junos
-rw-rw-r-- 1 logstash root  1037 Oct 16  2020 linux-syslog
-rw-rw-r-- 1 logstash root    74 Oct 16  2020 maven
-rw-rw-r-- 1 logstash root    49 Oct 16  2020 mcollective
-rw-rw-r-- 1 logstash root   190 Oct 16  2020 mcollective-patterns
-rw-rw-r-- 1 logstash root   614 Oct 16  2020 mongodb
-rw-rw-r-- 1 logstash root  9597 Oct 16  2020 nagios
-rw-rw-r-- 1 logstash root   142 Oct 16  2020 postgresql
-rw-rw-r-- 1 logstash root   845 Oct 16  2020 rails
-rw-rw-r-- 1 logstash root   224 Oct 16  2020 redis
-rw-rw-r-- 1 logstash root   188 Oct 16  2020 ruby
-rw-rw-r-- 1 logstash root   404 Oct 16  2020 squid

文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。

现在我们的业务日志示例见下:

2024-04-09 11:00:11.035 INFO [auth-service,] 14591 — [AuthService_EventPool_291503862] c.x.s.a.i.e.h.LoginLogEventHandler : LoginLogEventHandler - writeLoginLog - 登录登出日志 [id=1777531927092264963\tuserId=1233\ttenantId=1\tappCode=XA106004\taccountType=0\tloginName=cs361\tusername=测361\tosName=TB223FC_S000001_240206_XX\tversionName=test_v3.111.5.20240321S.C\tdeviceId=HA1WFS68\tpackageName=com.xx.xxxstu\tclientIp=172.27.25.139\tmac=26:21:03:F1:1C:46\tdeviceModel=Lenovo TB223FC\tloginOutType=101\timei=Unknown_Value\tdate=20240409110011\tosVersion= 12]

那么grok正则表达式应该如何呢?

grok {
       match => {"message"=>"%{JAVA_DATE:logdate}\s+%{XHJVM_VALUE:logType}\s.*登录登出日志\s+\[id=(%{FIELD_VALUE:id}?\s+)userId=(%{FIELD_VALUE:userId}?\s+)tenantId=(%{FIELD_VALUE:tenantId}?\s+)appCode=(%{FIELD_VALUE:appCode}?\s+)accountType=(%{FIELD_VALUE:accountType}?\s+)loginName=(%{FIELD_VALUE:loginName}?\s+)username=(%{FIELD_VALUE:username}?\s+)osName=(%{FIELD_VALUE:osName}?\s+)versionName=(%{FIELD_VALUE:versionName}?\s+)deviceId=(%{FIELD_VALUE:deviceId}?\s+)packageName=(%{FIELD_VALUE:packageName}?\s+)clientIp=(%{FIELD_VALUE:clientIp}?\s+)mac=(%{FIELD_VALUE:mac}?\s+)deviceModel=(%{FIELD_VALUE:deviceModel}?\s+)loginOutType=(%{FIELD_VALUE:loginOutType}?\s+)imei=(%{FIELD_VALUE:imei}?\s+)date=(%{FIELD_VALUE:date}?\s+)osVersion=(%{FIELD_VALUE:osVersion}?)\]"}
  }

可以看到,我们这里针对时间格式进行了自定义,在/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/java中增加了以下正则表达式:

JAVA_DATE %{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})?
XHJVM_VALUE [a-zA-Z]{4,5}
FIELD_VALUE [^\n]+

完整的java文件见下:(绿色部分为新增的正则表达式)
在这里插入图片描述

三、docker-compose挂载文件

在这里插入图片描述

新增挂载宿主机文件logstash/conf/java至/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/java,完整的logstash启动命令见下:

在这里插入图片描述

  logstash:
    image: elastic/logstash:7.9.3
    restart: always
    container_name: logstash
    command: logstash -f /usr/share/logstash/pipeline/*.conf
    volumes:
      - ./logstash/conf/logstash.conf:/usr/share/logstash/pipeline/logstash.conf
      - ./logstash/conf/auth.conf:/usr/share/logstash/pipeline/auth.conf
      - ./logstash/conf/java:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns/java
      - ./logstash/template.json:/etc/logstash/template.json
    ports:
      - "5044:5044"
      - "9600:9600"
    environment:
      - "LS_JAVA_OPTS=-Xms512m -Xmx512m"
      - elasticsearch.hosts=elasticsearch:9200
      # 解决logstash监控连接报错
      - xpack.monitoring.elasticsearch.hosts=elasticsearch:9200
      - "TZ=Asia/Shanghai"
    depends_on:
      - elasticsearch

四、总结

编写grok的关键就是搞清楚其正则匹配,它已自带了许多格式,本文侧重描述如何自定义正则表达式。

天草二十六_简村人
关注
  • 30
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Grok_正则表达式
AngusDavis的博客
09-10 2818
Grok正则表达式,虽然不是太全,但是已经可以满足日志分析的需求。 转载请说明出处,谢谢。 如果有错误请指出,谢谢。 #----------------------------------------------------------------------------------------------------------------------------------------
grok 正则
chenzl的专栏
10-17 1199
环境 centos 7.2 JDK 11 logstash 7.4 rpm logstash rpm安装,参见Logstash RPM安装 语法 grok正则,是在通用的正则基础上,加了正则表达的名称(变量名),这样就可以在其他的正则里调用了; 通用的正则,参见正则表达式 grok调用正则的语法为 %{PATTERN_NAME} %{PATTERN_NAME:OUTPUT_FIELD_NAM...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
最全10个好用的Web日志安全分析工具_前端日志工具有哪些(1),看完就能找到工作
最新发布
2401_84562143的博客
05-11 923
一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。程序员的看日志利器,支持,tail, less, grep,支持超大的文本文件,从几M到几十G的日志文件都流畅自如。一款非常炫酷且可视化日志分析工具,可以直观的展示CC攻击和网站的日志分析,并以可视化的3D效果展示出来。一款功能强大的开源日志分析系统,可以图形方式生成高级Web,流媒体,ftp或邮件服务器统计信息。一款开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。
Logstash:使用自定义正则表达式模式
Elastic 中国社区官方博客
03-26 2391
Logstash是一种服务器端数据处理管道,可同时从多个来源获取数据,对其进行转换,然后将其发送到 “存储”(如 Elasticsearch)。GrokLogstash 中的过滤器,用于将非结构化数据解析为结构化和可查询的内容。是定义搜索模式的字符序列。如果你已经在运行 Logstash,则无需安装额外的正则表达式库,因为Grok 位于正则表达式之上,因此任何正则表达式grok 中也有效——Elastic 文档。
Logstash自定义grok正则匹配规则
夏已微凉、
09-27 2217
一、内容1、配置文件输入2、自定义正则生效二、相关文章 一、内容 1、配置文件输入 input { file { ... } } filter { grok { match => { "message"=>"\[%{TIMESTAMP_ISO8601:timestamp}\] %{USERNAME:method}[T ]%{URL:url} %{NUMBER:exec_time}" } } } output { ... } 2、.
使用Logstash过滤插件Grok自定义正则表达式模式并引用
江晓龙的博客
07-13 1473
1)首先在kibana上调试增加一个正则模式模式名称就叫ID 表达式为,表示匹配0-9任意数字,且满足至少3位但不能超过6位,最多6位就是结尾,否则就匹配不上。2)在grok模式中应用自定义正则模式在最后一列增加ID正则模式,然后进行模拟,可以过滤出我们需要的内容3)配置logstash使用自定义正则模式 4)在kibana上展示日志数据增加上新的id字段......
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex - 将 logstash 模式转换为正则表达式 GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github....
korg:根据可重用模式组合正则表达式(Python Logstash grok克隆)
02-04
korg是ruby logstash grok正则表达式模式的python端口。 快速开始 Logstash带有100多种内置模式,用于构造非结构化数据。 在处理诸如apache,linux,haproxy,aws等之类的日志数据时,绝对应该利用此优势。 但是,...
logstash-grok-patterns:我的 logstash grok 模式
06-22
logstash-grok-模式 这个存储库包含我的 logstash 配置和 grok 模式。 这是一项正在进行的工作,我是新手。 这些消息首先解析它们的 syslog 前缀,将消息的其余部分留在“syslog_message”字段中。 如果 syslog ...
logstash-filter-grok:Grok插件可将非结构化(日志)数据解析为结构化的内容
05-07
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用...
Grok正则表达式
weixin_42315182的博客
03-13 1943
grok正则在线调试:http://grokdebug.herokuapp.com 官方地址:https://github.com/logstash-plugins/logstash-patterns-core/tree/master/patterns 参考地址:http://www.net-add.com/a/zidonghuayunwei/rizhifenxi/2018/0717/7...
GraylogGrok解析
这有一片海的博客
12-24 1118
通常情况下,原始日志被采集上来之后,需要通过编写正则进行日志字段的解析,以便用来进行日志分析,看板的制作。
elk笔记4--grok正则解析
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
05-04 1447
elk笔记4--grok正则解析1 grok 切分方法2 grok 切分案例3 说明 1 grok 切分方法 grok切分规则可按照如下思路进行。 1)找准切分标志,以切分标志作为中心向左或者向右逐个字段抽出,对于正则中的通配符需要进行转义处理,否则这类字符作为分割标志的时候容易解析出错 2)也可以直接从左到右逐个字段取出 2 grok 切分案例 案例1内容: 2016/04/27 12:22...
grok语法定义
weixin_30610755的博客
08-22 2812
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 常用表达式 表达式标识 名称 详情 匹配例子 USERNAME 或 USER 用户名 ...
使用grok解析日志文件
gkkljy的博客
03-04 981
try { File file = new File("C:\\Users\\Administrator\\Desktop\\220301.log") ; //创建对象集合,存储需要解析保存的字段 ArrayList<LogAnalysis> list = new ArrayList<>(); //构造一个BufferedReader类来读取文件 BufferedR
Logstash日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3200
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
graylog 使用之 编写 grok 表达式
qq_33451502的博客
11-25 1335
grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。 graylog 集成了 grok ,可以使用grok表达式 对日志进行 拆分匹配。 1.grok调试网址 :http://grokconstructor.appspot.com/ (这个是外国的网址,需要科学上网进行浏览。) 进入grok...
Grok常用表达式
zhangsaho的博客
12-06 5105
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 ...
logstash grok 解析Nginx
06-07
好的,我可以为您解析如何使用LogstashGrok插件解析Nginx日志。首先,您需要安装LogstashGrok插件。然后,您需要编写一个Logstash配置文件,例如: ``` input { file { path => "/var/log/nginx/access.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response} %{NUMBER:bytes} \"%{DATA:referrer}\" \"%{DATA:agent}\"" } } } output { elasticsearch { hosts => ["localhost:9200"] index => "nginx-access-%{+YYYY.MM.dd}" } } ``` 在这个配置文件中,我们使用file输入插件来读取Nginx的访问日志,然后使用Grok插件解析每条日志Grok插件中的match字段指定了一个正则表达式,用来匹配Nginx日志的格式,例如上面的正则表达式可以匹配下面这样一条日志: ``` 127.0.0.1 - - [02/Jan/2020:10:00:00 +0800] "GET /index.html HTTP/1.1" 200 1234 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" ``` 最后,我们使用elasticsearch输出插件解析后的日志存储到Elasticsearch中,以便后续进行数据分析和可视化。您可以根据自己的需求,修改配置文件中的字段名和输出格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天草二十六_简村人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值