logstash获取自定义日志字符串及切分字段

最新推荐文章于 2024-05-03 21:59:27 发布
最新推荐文章于 2024-05-03 21:59:27 发布
阅读量4.2k 收藏 4
点赞数 1
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/znice123/article/details/107785848
版权

最近使用elk做应用审计的日志信息收集

1、定义应用输出格式

日志文件中如:

2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey  :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD

2、logstash中获取有用的字符串

通过grok脚本,截取需要的字符串存放在新建字段中

可以通过http://grok.51vagaa.com/验证脚本

3、通过分隔符截取字段内容赋值新建字段

 

logstash具体实现代码如:

filter{
    grok{
        match => { 
                "message" => "(?<audit_info>(?<=AD.).*?(?=.AD))"
            }
    }
    
    if [audit_info]{
        mutate{
        split => ["audit_info","|"]  
      add_field => {"audit_sys" => "%{[audit_info][0]}"}
      add_field =
最低0.47元/天 解锁文章
znice123
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
logstash读取本地日志文件中文乱码解决方案
盛夏与微风
08-29 9791
1.首先查看日志文件的字符集 [logStash@hadoop3 gamelogs]$ file game.txt game.txt: UTF-8 Unicode (with BOM) text, with CRLF line terminators 2.如果是UTF-8编码,则在LogStash配置文件设置charset为UTF-8 input{ file{ ...
logstash截取指定字符之前的字符串 正则表达式
记录程序的点点滴滴!
08-13 7579
例如:dsdsdsdadadsadada TJP 123213213 grok正则表达式:(?&lt;log_type&gt;(.*)(?=TJP)/?) 输出结果:log_type:"dsdsdsdadadsadada" Grok正则表达式调试地址:http://grokdebug.herokuapp.com/  ...
logstash ruby 分割原始事件为多个事件
weixin_35750747的博客
02-11 355
Logstash Ruby 可以通过使用 split 函数将一个原始事件分割为多个事件。例如,假设您有一个包含多行文本的原始事件,每行文本都是一个单独的事件,则可以使用以下代码: filter { ruby { code => " event.get('message').split(/\\n/).each do |line| line_event =...
ELK日志收集(Logstash
最新发布
manongwangziqi的博客
05-03 1479
ELK常用案例
logstash利用grok截取字符中指定长度的内容
fengzhimohan的博客
10-29 5528
最近项目用到logstash,要求利用grok截取日志消息中某一指定长度的内容。 Logstatsh需要两个必需参数input、output,以及一个可选参数filter。input用于输入数据的设置,output用于输出数据的设置。filter是实现数据过滤的设置。grok是在filter里面实现数据截取。 项目有一串协议消息如 7e8900000c040116432693324af001018...
logstash截取指定字符和grok的使用
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
logstash启动文件conf之filter模块中字段转换问题
风雨诗轩的博客
11-28 2974
我的logstash是从kafka中读取数据,取出来的数据格式为"zhangsan_1_25_student_15064573848";一个人的姓名_性别_年龄_职业_时间戳,我的需求是将每个字段分别存到elasticsearch中,所以首先需要对取出来的字符串拆分,以便模板能映射各个字段 filter{ mutate{ split => ["message","_"]
logstash字符串的split,对每个子串进行json解析
热门推荐
格物致知
08-16 3万+
最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。 字符串格式如下: {"person":{"age":"11"}} this is the sample该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:field1:{ field
Logstash——使用Logstash过滤器(filter)从事件中提取数据
大风的博客
05-17 1万+
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器根据规则提取数据 Logstash涉及提取数据主要是下面几个 date过滤器:获得时间格式的数据 extractnumbers过滤器:从字符串中提取数字 grok过滤器:使用grok格式提取数据中的指定内容 这里我简单的介绍下几个过滤器.
使用Logstash操作Elasticsearch时ruby语法常用操作
qq_39285950的博客
12-21 1051
Elasticsearch Logstash ruby操作list,ruby for循环,ruby格式化时间(YYYY-mm-ddTHH:MM:SS),ruby获取现在时间并格式化,ruby转换时间戳,,ruby转换时间格式,转换为%Y-%m-%dT%H:%M:%S,转换为时间戳,ruby截取字符串长度,ruby循环,ruby数组操作,rubyjson操作,ruby读json,ruby写json,ruby读写json,rubymd5加密,ruby连接mysql jdbc,ruby同时启动多个logstash
Logstash系列之--基础知识
m0_37911384的博客
03-26 1296
Logstash系列之--基础知识: 区段 Logstash 用 {} 来定义区域,区域内可以包括插件区域定义,你可以在一个区域内定义多个插件 input { stdin {} udp { port=>514 } } 数据类型 Logstash 支持少量的数据值类型: bool debug => true str...
logstash 切分日志
有道无术,术尚可求,有术无道,止于术。
11-07 1759
日志格式可以大致分为两部分,基本的头信息和json格式的数据,中间以‘|’进行了分割。 2018-08-30 10:41:42,661 ERROR [http-apr-8080-exec-7] [com.intime.soa.framework.auth.AbstractAuthInterceptor 118] - Request <> GET_/favicon.ico | { ...
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1634
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch
weixin_30402343的博客
05-13 1764
问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下: Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下: { "message": "key_1=value_1;,;key_2=value_2" } 现在想要将message的值拆...
Logstash——使用Logstash过滤器(filter)对事件中的数据进行特殊处理
大风的博客
05-17 8018
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 对事件中的数据进行处理 很多时候我们传入logstash的原始数据并不是我们所需要传输的最终数据,这个时候需要我们队数据进行处理。而filter用来进行数据处理的插件主要是下面几个 alter:主要根据元素中的值,对其进行重新赋值 mutate:主要对元素中的值.
Logstash日志字段拆分grok
weixin_33790053的博客
04-24 4319
参考和测试网站:http://grokdebug.herokuapp.com 例如:test-39.dev.abc-inc.com Mon Apr 24 13:53:58 CST 2017 2017-04-16 23:37:44,282 [DEBUG] add service:com.abc.open.nlp.facade.NLPService 正则表达式过滤为:%{HOSTNAME:host...
Logstash:Data 转换,分析,提取,丰富及核心操作
Elastic 中国社区官方博客
09-15 8684
在今天的这篇文章中,着重介绍Logstash在数据转换,分析,提取及核心操作方便的内容。首先,希望大家已经按照我之前的文章 “如何安装Elastic栈中的Logstash”把Logstash安装好。 Logstash数据源 我们知道Logstash可以在很多的应用场景中使用。它有各种各样的数据源,比如: 这些数据丰富多彩。为了能够让这些数据最终能进入到Elastic...
logstash判断是否匹配_Logstash 字符串的提取
weixin_39588104的博客
12-20 823
需求:比如 path => /wls/applogs/rtlog/icore-pts2SF2433/icore-pts2SF2433.out想提取icore-pts 与 icore-pts2SF2433/icore-pts2SF2433.out第一种方法:用grok 处理filter{grok{match=>["path","/wls/applogs/rtlog/(?[a-z]...
logstash中数组转字符串
04-11
Logstash中,可以使用Ruby过滤器来实现数组转字符串的操作。下面是一个示例配置: ``` filter { ruby { code => " event.set('array_field', event.get('array_field').join(', ')) " } } ``` 上述配置中,假设你的事件中有一个名为`array_field`的字段,它是一个数组。通过使用Ruby过滤器,我们可以使用`join`方法将数组转换为以逗号分隔的字符串,并将结果存储回`array_field`字段中。 请注意,这只是一个示例配置,你需要根据你的具体需求进行相应的修改。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值