最近使用elk做应用审计的日志信息收集
1、定义应用输出格式
日志文件中如:
2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD
2、logstash中获取有用的字符串
通过grok脚本,截取需要的字符串存放在新建字段中
可以通过http://grok.51vagaa.com/验证脚本
3、通过分隔符截取字段内容赋值新建字段
logstash具体实现代码如:
filter{
grok{
match => {
"message" => "(?<audit_info>(?<=AD.).*?(?=.AD))"
}
}
if [audit_info]{
mutate{
split => ["audit_info","|"]
add_field => {"audit_sys" => "%{[audit_info][0]}"}
add_field =