Grok_正则表达式

最新推荐文章于 2025-04-29 11:43:47 发布
原创 最新推荐文章于 2025-04-29 11:43:47 发布 · 2.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#正则表达式 #Grok

Grok的正则表达式,虽然不是太全,但是已经可以满足日志分析的需求。

转载请说明出处,谢谢。

如果有错误请指出,谢谢。

#----------------------------------------------------------------------------------------------------------------------------------------------------------------------

#DavisDing

#2017-09-10

#第一版

名字例子正则表达式
IPV4null(?<![0-9])(?:(?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2}))(?![0-9])
IPV6 null((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4}|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:)))(%.+)?
IPnull(?:%{IPV6:UNWANTED}|%{IPV4:UNWANTED})
域名null(?:[a-zA-Z0-9]{1,62}(\.[a-zA-Z0-9]{1,62})\.(cn|com|net))
时间匹配12/Jan/2017:15:39:12 +0800(?:\[[01][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2} \+\d{4}\])
URLnull(?:(http|ftp|https):\/\/[\w\-_]+(\.[\w\-_]+)+([\w\-\.,@?^=%&amp;:/~\+#]*[\w\-\@?^=%&amp;/~\+#])?)
null
hostnull(?:[a-zA-Z0-9]{1,62}(\.[a-zA-Z0-9]{1,62})\.(cn|com|net))
nullnull(?:.*)
nullnull(?:\d+)
collect timenull(?:[012][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2})
MZ55null(?:\+\d{4})
http_methodhttp方法(?:\w{3,8})
urlnull(?:/[\\A-Za-z0-9$.+!*'(){},~:;=@#% \[\]_<>^\-&?]*)+
protocolnull(?:\w{2,8}/.*)
statusnull(?:[1-5][01][0-9])
client request size客户请求大小(?:\d+)
collect timenull(?:[012][0-9]/\w{3}/\d{2,4}:\d{1,2}:\d{1,2}:\d{1,2})
nullnull(?:\w+)
nullnull(?:.+/[1-9]{1,2}\.[0-9]{1,2})
dst portnull(?:[1-9]\d{1,5})
USERNAMEnull[a-zA-Z0-9._-]+
INTnull(?:[+-]?(?:[0-9]+))
BASE10NUM十进制,数字和小数(?<![0-9.+-])(?>[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))
QuotedString有引号字符串(?>(?<!\\)(?>"(?>\\.|[^\\"]+)+"|""|(?>'(?>\\.|[^\\']+)+')|''|(?>`(?>\\.|[^\\`]+)+`)|``))
HostNamenull\b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b)
MONTH英月份\b(?:Jan(?:uary)?|Feb(?:ruary)?|Mar(?:ch)?|Apr(?:il)?|May|Jun(?:e)?|Jul(?:y)?|Aug(?:ust)?|Sep(?:tember)?|Oct(?:ober)?|Nov(?:ember)?|Dec(?:ember)?)\b
MONTHDAY一月的天数(?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
DAY英 天(?:Mon(?:day)?|Tue(?:sday)?|Wed(?:nesday)?|Thu(?:rsday)?|Fri(?:day)?|Sat(?:urday)?|Sun(?:day)?)
YEAR(?>\d\d){1,2})
HOUR时间,小时(?:2[0123]|[01]?[0-9])
MINUTE时间,分(?:[0-5][0-9])
SECOND时间,秒(?:(?:[0-5]?[0-9]|60)(?:[:.,][0-9]+)?)
Timenull(?!<[0-9])%{HOUR:UNWANTED}:%{MINUTE:UNWANTED}(?::%{SECOND:UNWANTED})(?![0-9])
commonmacmac(?:(?:[A-Fa-f0-9]{2}:){5}[A-Fa-f0-9]{2})
windowsmacmac(?:(?:[A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2})
ciscomacmac(?:(?:[A-Fa-f0-9]{4}\.){2}[A-Fa-f0-9]{4})
word任意单词\b\w+\b
data数据 , 任意单词.*
uuidnull[A-Fa-f0-9]{8}-(?:[A-Fa-f0-9]{4}-){3}[A-Fa-f0-9]{12}
time2016-09-08 11:13:19,864,毫秒%{YEAR:UNWANTED}-%{MONTHNUM:UNWANTED}-%{MONTHDAY:UNWANTED}[T ]%{HOUR:UNWANTED}:?%{MINUTE:UNWANTED}(?::?%{SECOND:UNWANTED}),?%{NUMBER:UNWANTED}
timeyyyy-mm-dd  21:24:30%{YEAR:UNWANTED}-%{MONTHNUM:UNWANTED}-%{MONTHDAY:UNWANTED}[T ]%{HOUR:UNWANTED}:?%{MINUTE:UNWANTED}(?::?%{SECOND:UNWANTED})
number数字引用base10num(?:%{BASE10NUM:UNWANTED})
date usnull%{MONTHNUM:UNWANTED}[/-]%{MONTHDAY:UNWANTED}[/-]%{YEAR:UNWANTED}
date eunull%{MONTHDAY:UNWANTED}[./-]%{MONTHNUM:UNWANTED}[./-]%{YEAR:UNWANTED}
timemm/dd/yy 16:17:57 CST%{DATE:UNWANTED} %{TIME:UNWANTED} %{TZ:UNWANTED}
tzcst(?:[PMCE][SD]T|UTC)
datenull%{DATE_US:UNWANTED}|%{DATE_EU:UNWANTED}
time时分秒,16:17:57(?!<[0-9])%{HOUR:UNWANTED}:%{MINUTE:UNWANTED}(?::%{SECOND:UNWANTED})(?![0-9])
OTHER DATEAug 21 23:58:56 10.195.157.179%{MONTH:UNWANTED} %{MONTHDAY:UNWANTED} %{TIME:UNWANTED}
no have不要,不引用?:
UNWANTED未知,可做keyUNWANTED

使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 1165
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
Logstash Grok正则
jeikerxiao
12-07 1232
Logstash Grok正则Grok正则简介语法解释调试工具示例1示例2示例3 Grok正则简介 日志源提供的日志格式可能并不是我们想要插入存储介质里的格式,Logstash里提供了一系列的filter来让我们转换日志。Grok就是这些filters里最重要的一个插件,(简单来说就是过滤日志数据)。而且后期你还会使用Grok正则里定义的field来进行相关指标的分析。 语法解释 语法 说...
【ELK】grok正则匹配
没枕头我咋睡觉
01-27 2411
1、Grok简介: grok是logstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
Grok正则
seeker的博客
05-04 4265
Grok正则简介 日志源提供的日志格式可能并不是我们想要插入存储介质里的格式,Logstash里提供了一系列的filter来让我们转换日志。Grok就是这些filters里最重要的一个插件,(==简单来说就是过滤日志数据==)。而且后期你还会使用Grok正则里定义的field来进行相关指标的分析。 语法解释: %{TIMESTAMP_ISO8601:time},代表时间戳 %{LO...
grok 正则
chenzl的专栏
10-17 1349
环境 centos 7.2 JDK 11 logstash 7.4 rpm logstash rpm安装,参见Logstash RPM安装 语法 grok的正则,是在通用的正则基础上,加了正则表达的名称(变量名),这样就可以在其他的正则里调用了; 通用的正则,参见正则表达式 grok调用正则的语法为 %{PATTERN_NAME} %{PATTERN_NAME:OUTPUT_FIELD_NAM...
groktoregex:将 logstash grok 别名转换为正则表达式
06-06
GrokToRegex 是一个简单的命令行实用程序,可将已知的 grok 别名转换为其相应的正则表达式值。 安装 要安装 GrokToRegex,请使用 go get go get github.com/jrxfive/groktoregex 用法 一旦构建 groktoregex 只需要...
GrokToRegex工具:从Logstash Grok正则表达式转换指南
资源摘要信息:"Groktoregex 是一个用于将 Logstash Grok 别名转换为等效正则表达式的命令行工具。Grok 是 Logstash 中用于日志解析的模式匹配语言,它提供了一套预定义的正则表达式模式,用于从非结构化的日志中提取...
Korg:Python中Logstash grok正则表达式的克隆与应用
为了在Python环境中复用Logstash Grok正则表达式模式,有人开发了名为korg的库,它是对Logstash Grok正则表达式模式的Python端口。korg使用Python的语法和库,使得Python开发者能够在自己的项目中轻松地复用...
Grok常用正则表达式(日常记录)
qq_20283263的博客
01-20 2399
USERNAME [a-zA-Z0-9._-]+ USER %{USERNAME} EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+ EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME} INT (?:[+-]?(?:[0-9]+)) BASE10NUM (?<![0-9.+-])(?>[+-]?(?:(?:[0-9]...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1798
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
10.Grok正则
王双颖的博客
06-22 586
推荐使用工具kibana 或者使用下面提供的解析工具 https://www.5axxw.com/tools/v2/grok.html #特殊匹配 (%{GREEDYDATA:json1}|-) 匹配所有数据 %{QS:agent} 匹配"-"数据 # 匹配规则 LogFile="%{WORD:logfile}";Time="%{DATA:time}";SIP="%{IPV4:sip}"; #关键字 WORD 匹配单词 DATA 匹配任意数据 IPV4 匹配IP NUMBE
logstash的grok插件作为日志解析工具,如何自定义正表达式来匹配字符
天草二十六
04-09 1960
grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patternstotal 112文章开头部分提及的日期正则,大多数是配置在文件grok-patterns里。
grok常用表达式
weixin_30505043的博客
09-16 1137
主机、ip、路径 HOSTNAME 主机名称 IPORHOST IP或者主机名称 HOSTPORT 主机名(IP)+端口,如: 127.0.0.1:3306、api.stozen.NET:8000 MAC MAC地址 IP IP地址,IPv4或IPv6地址,比如:127.0.0.1、FE80:0000:0000:0000:AAAA:0000:00C2:0002等 PATH 路...
Grok常用表达式
zhangsaho的博客
12-06 5989
grok默认表达式 Logstash 内置了120种默认表达式,可以查看patterns,里面对表达式做了分组,每个文件为一组,文件内部有对应的表达式模式。下面只是部分常用的。 ...
grok表达式学习
Janloong Do_O
12-20 1049
nginx 反向代理 Author : Janloong Do_O tomcat 配置 <Host name="www.aa.com" appBase="webapps" unpackWARs="true" autoDeploy="true"> <Valve className="org.apache.catalina.val
grok规则常用表达式
weixin_34247155的博客
05-18 3295
grok规则常用表达式● USERNAME 或 USER用户名,由数字、大小写及特殊字符(._-)组成的字符串比如:1234、Bob、Alex.Wong等● EMAILLOCALPART电子邮件用户名部分,首位由大小写字母组成,其他位由数字、大小写及特殊字符(_.+-=:)组成的字符串。注意,国内的QQ纯数字邮箱账号是无法匹配的,需要修改正则比如:stone、Gary_Lu、...
各服务日志: Grok正则解析
最新发布
eyeofeagle的博客
04-29 374
【代码】各服务日志: Grok正则解析。
搭建ELK(ElasticSearch+Logstash+Kibana)日志分析系统(十四) logstash grok 正则解析日志
09-16 2149
摘要 这一节补充一下logstash使用grok正则解析日志Grok 是 Logstash 最重要的插件。通过在filter中使用grok,可以把日志中的关键字匹配出来。grok正则主要有两部分: 一是grok自带的grok模式表达式,即是grok预定义好的一些表达式,可以匹配一些常见的字符串,如ipv4、ipv6、mac地址等 二是通过正则表达式来匹配,grok支持约120种正则表达式,详见12
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值