Logstash笔记(三)——数据转换插件

最新推荐文章于 2022-07-31 00:30:00 发布
VIP文章 最新推荐文章于 2022-07-31 00:30:00 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: ELK 文章标签: Logstash 数据转换 Plugin 插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zimou5581/article/details/90520599
版权

1. 核心操作

如修改和删除事件。

1.1. date filter

解析字段中的日期,以用作事件的Logstash时间戳。
下面的配置解析一个名为logdate的字段来设置Logstash时间戳:

filter {
   
  date {
   
    match => [ "logdate", "MMM dd yyyy HH:mm:ss" ]
  }
}
1.2. drop filter

删除事件。这个过滤器通常与条件句结合使用。
下面的配置将删除调试级别的日志消息:

filter {
   
  if [loglevel] == "debug" {
   
    drop {
    }
  }
}
1.3. fingerprint filter

通过应用一致性的散列来创建指纹字段。
下面的配置对IP、@timestamp和message字段进行指纹识别,并将散列添加到名为generated_id的元数据字段:

filter {
   
  fingerprint {
   
    source => ["IP", "@timestamp", "message"]
    method => "SHA1"
    key => "0123"
    target => "[@metadata][generated_id]"
  }
}
1.4. mutate filter

对字段执行一般的操作。您可以重命名、删除、替换和修改事件中的字段。
以下配置将HOSTORIP字段重命名为client_ip:

filter {
   
  mutate {
   
    rename => {
    "HOSTORIP" => "client_ip" }
  }
}

下面的配置将从指定的字段中删除前缀和后缀的空格:

filter {
   
  mutate {
   
    strip => ["field1", "field2"]
  }
}
1.5. ruby filter

执行 Ruby 代码.

下面的配置执行Ruby代码,用来取消90%的事件:

filter {
   
  ruby {
   
    code => "event.cancel if rand <= 0.90"
  }
}

2. 数据反序列化

2.1. avro codec

将序列化的Avro记录读取为Logstash事件。这个插件反序列化单个Avro记录。它不是用来读取Avro文件的。Avro文件有一个独特的格式,必须在输入时处理。
下面的配置反序列化Kafka的输入:

input {
   
  kafka {
   
    codec => {
   
      avro => {
   
        schema_uri => "/tmp/schema.avsc"
      }
    }
  }
}
2.2. csv filter

将逗号分隔的值数据解析为单个字段。默认情况下,过滤器自动生成字段名称(column n1、column2等),或者您可以指定一个名称列表。还可以更改列分隔符。
以下配置将CSV数据解析为columns字段中指定的字段名:

filter {
   
  csv {
   
    separator => ","
    columns => [ "Transaction Number", "Date", "Description", "Amount Debit", "Amount Credit", "Balance" ]
  }
}
最低0.47元/天 解锁文章
持盾的紫眸
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用logstash进行ip映射(主机名或系统名)
点火三周的专栏
04-04 6638
文章目录需求场景解决方案测试示例性能测试与调优 需求场景 当使用elasticsearch进行日志数据可视化的时候,往往会遇到需要IP地址无法human-reading的情况。这时,我们需要将IP地址进行一定的格式转换,将其转换为主机名(hostname)或者系统名(application/service name)。 以WAF的日志为例,里面的dst_ip记录了被攻击的主机ip,scr_ip记录...
logstash-input-sftp插件
10-12
这是个logstash关于sftp下载的插件,运行下面命令就可以了,具体config文件可看第二个链接的教程 cmd: bin/logstash-plugin install file:///absolute/path/to/logstash-input-sftp.zip config guide: https://github.com/yuxuanh/logstash-input-sftp
logstash采集数据数据插件
10-19
logstash采集数据数据插件logstash-input-jdbc-4.2.1.zip
Logstash日志数据采集与ELK可视化分析实战
02-21
基于Logstash的日志数据采集和ELK可视化海量日志分析平台实战(全套视频+课件+代码+讲义+工具),具体内容包括: 01 Logstash的架构及运行流程 02 Logstash数据采集案例(一) 03 Logstash数据采集案例(二) 04 Kibana的介绍部署及功能模块讲解 05 ELK企业常见四种架构及应用 06 ELK综合案例-案例数据的导入 07 ELK综合案例-Logstash读取Mysql数据到ES 08 ELK综合案例-常见业务指标分析 09 ELK综合案例-Kibana生成报表展示
logstash-output-jdbc插件
09-28
下载后执行以下命令安装: ./bin/logstash-plugin install file:///root/logstash-output-jdbc.zip
logstash-codec-protobuf:用于解析Protobuf消息的编解码器插件
05-20
Logstash protobuf编解码器 这是用来解析protobuf消息的编解码器插件。 前提条件和安装 准备您的Protobuf定义的Ruby版本: 对于protobuf 2,请使用。 对于protobuf 3,请使用。 安装编解码器: bin/logstash-plugin install logstash-codec-protobuf 在Logstash配置文件中使用编解码器。 请参阅下面的详细信息。 配置 有两种方法可以指定ruby protobuf定义的位置: 使用配置include_path指定每个类及其加载顺序。 很快将不赞成使用此选项,而推荐使用自动装带器。 使用class_file和protobuf_root_directory指定protobuf主类的路径,以及从中加载其依赖项的文件夹。 编解码器将检测每个文件的依赖关系并自动加载它们。 include
LogStash 原理和使用(十六)
nandao158的博客
10-12 3267
LogStash 是一个类似实时流水线的开源数据传输引擎,它像一个两头连接不 同数据源的数据传输管道,将数据实时地从一个数据源传输到另一个数据源中。 在数据传输的过程中,LogStash 还可以对数据进行清洗、加工和整理,使数据在 到达目的地时直接可用或接近可用,为更复杂的数据分析、处理以及可视化做准 备。 既然需要将数据搬运到指定的地点,为什么不在数据产生时就将数据写到需 要的地方呢?这个问题可以从以下几个方面理解。首先,许多数据在产生时并不 支持直接写入到除本地文件以外的其他数
Logstash:Data 转换,分析,提取,丰富及核心操作
Elastic 中国社区官方博客
09-15 8437
在今天的这篇文章中,着重介绍Logstash数据转换,分析,提取及核心操作方便的内容。首先,希望大家已经按照我之前的文章 “如何安装Elastic栈中的Logstash”把Logstash安装好。 Logstash数据源 我们知道Logstash可以在很多的应用场景中使用。它有各种各样的数据源,比如: 这些数据丰富多彩。为了能够让这些数据最终能进入到Elastic...
转]Linux命令行性能检测工具
最实用的Linux博客
09-12 1372
原贴:http://www.linuxfly.org/post/115.htm [转]Linux命令行性能检测工具 大 | 中 | 小 [2007/01/17 12:26 | 分类: 基础知识 » 系统命令 | by linuxing ]    上面引用了IBM红皮书介绍的关于Linux性能需要考虑的内容。今天继续截选和修改文档中关于检测部分的介绍,但这部分不是很详细,今后
logstash转换数据类型
QYHuiiQ
06-02 6339
logstash中可以指定数据类型,否则到了elasticsearch就会变成text,在这里我要把second转为int类型的,解决办法就是在grok插件中在该字段映射后面加上冒号和数据类型。修改如下: ...
ElasticSearch进阶(七)Logstash数据转换工具的使用
jwang的博客
10-28 767
前言 本章讲解Logstash数据转换工具的基本使用 方法 1.概念 通过准备篇的学习,我们知道Logstash基于Java,是一个开源的用于收集分析和存储日志的工具,它最重要的功能就是将我们收集的日志做转换,以便于我们更好的进行解析! 首先我们来看一下Logstash,下面的图片来自于官网:https://www.elastic.co/cn/products/logstas...
logstash学习笔记
09-05
早期刚接触logstash时记录的学习笔记,今天翻到了就拿出来分享一下,适合初学者,大手子不要下载了。
Logstash【从无到有从有到无】【L11】转化数据(Transforming Data)
琴韵悠悠
10-21 839
目录 1.转化数据(Transforming Data) 1.1.执行核心操作(Performing Core Operations) 日期过滤器(date filter) 删除过滤器(drop filter) 指纹过滤器(fingerprint filter) 变异过滤器(mutate filter) Ruby过滤器(ruby filter) 1.2.反序列化数据(Deseria...
ELK应用之Logstash 数据转换
Kason_iWiki
01-16 1827
1. Logstash Logstash 是开源的数据处理管道,能够同时出来从多个源采集数据转换数据,然后输出数据 2. Logstash架构介绍 Logstash 的基础架构类型pipeline流水线 input: 数据采集(常用插件:stdin,file,kafka,beat,http) Fileter:数据解析/转换(常用插件:grok,date,geoip,mutate,userag...
Logstash 参考指南(Kafka输入插件
weixin_34405354的博客
10-06 2472
Kafka输入插件 插件版本:v8.1.1 发布于:2018-06-01 更新日志 其他版本,请参阅版本化的插件文档。 获取帮助 有关插件的问题,请在讨论论坛中打开一个主题,对于bug或特性请求,在Github中打开一个issue,关于Elastic支持的插件列表,请考虑Elastic支持矩阵。 描述 这个输入将读取来自Kafka主题...
用于Linux日常系统管理任务地sed命令解析
yuyuyuliang00的博客
07-31 961
linux sed
LogstashLogstash translate 过滤器简介
Elastic 中国社区官方博客
06-21 3660
Logstash具有一个有趣的功能,称为翻译过滤器 (translate filter)。 翻译过滤器用于根据字典或查找文件过滤传入数据中的特定字段。 然后,如果输入字段与字典查找文件中的条目匹配,则它将执行操作,例如,将字段添加到数据或发送电子邮件。这个和我们之前介绍的数据丰富是一样的。 一个简单的用例 也许你正在从Twitter索引数据,并想知道用户何时在其推文中提及某些特定单词。 创建一个被认为很有趣的单词列表。 每次在推文中提及该单词时,你都可以在数据中添加一个字段,以将数据标记为“int.
Logstash:通过使用 Logstash 的 DNS 查找来丰富数据
Elastic 中国社区官方博客
09-22 575
我今天看了一篇文章 “Elasticsearch Data Enrichment with Logstash: A Few Security Examples”。它里面有介绍 Logstash 的DNS 过滤器。感觉是一个很不错的过滤器。但是使用起来不是很直接明了。你可以在 Elastic 测官方网站 DNS filter plugin 来详细查看它的使用方法。 在今天的文章中,我将以极其简单的例子来进行展示。这样让大家看得更明白一点。 首先,我们来创建一个叫做 logstash.conf 的配资文件:
一文了解日志收集工具fluent-bit
u012516914的专栏
01-27 6302
"本文主要对fluent-bit特性及使用场景介绍"1、简介fluent-bit是一种在Linux,OSX和BSD系列操作系统运行,兼具快速、轻量级日志处理器和转发器。它...
logstash 配置文件——rsyslog.conf
最新发布
05-21
以下是一个示例的 Logstash 配置文件 rsyslog.conf,用于从 rsyslog 接收日志数据并将其发送到 Elasticsearch: ``` input { tcp { port => 5000 type => syslog } } filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{host}" ] } date { match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } } output { elasticsearch { hosts => ["localhost:9200"] index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}" } } ``` 该配置文件中,input 插件使用 TCP 协议监听 5000 端口,并将接收到的所有数据类型标记为 syslog。filter 插件使用 grok 插件解析 syslog 消息,并使用 date 插件将 syslog 时间戳转换Logstash 可识别的时间格式。最后,output 插件将处理后的日志数据发送到 Elasticsearch。注意,该示例仅适用于 rsyslog 日志数据,对于其他类型的日志数据需要根据实际情况进行相应的修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值