mutate使用(日志过滤)

最新推荐文章于 2024-10-16 21:43:36 发布
最新推荐文章于 2024-10-16 21:43:36 发布
阅读量462 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: elk 文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ApexPredator/article/details/131553505
文章介绍了Logstash中的mutate过滤器,用于日志事件字段的修改、删除和添加。通过示例展示了如何配合grok过滤器解析日志,然后使用mutate过滤掉无用字段,以实现日志数据的标准化,便于后续分析和存储。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.前言

mutate 过滤器是Logstash中的一个常用过滤器,用于对事件中的字段进行修改、重命名、删除和添加操作。它提供了多种操作选项,如替换字段值、添加新字段、删除字段、重命名字段等。mutate 过滤器可以在事件流水线的任何阶段使用,且不需要匹配特定的模式,通常情况下,你可能需要先使用 grok 过滤器解析日志行并提取字段,然后使用 mutate 过滤器对提取的字段进行进一步处理或添加额外的字段。这样可以对日志数据进行解析、转换和标准化,以便后续的存储、分析和可视化操作

2.使用

先展示一下日志使用gork结构化后的情况

 这是未设置mutate过滤之前logstash输出的日志

tail -f  /opt/logstash/logstash/logstash.log

 

 我们在通过mutate过滤掉不需要的字段,编辑logstash配置文件

vi /opt/logstash/logstash/config/logstash.conf

input {
  beats {           #配置为beats,供filebeat调用
    port => 5044      #配置监听端口,用于接收filebeat传输过来的日志
    codec => "json"    #如果传输过来的是json格式日志则需要此项配置,否则就删掉此项配置
  }
}

filter {
  if [fields][topic] == "nginx-access-log" {
    grok {
      match => {
        "message" => "%{IP:ip} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:timestamp}\] \"%{WORD:request_method} %{URIPATHPARAM:request_url} HTTP/%{NUMBER:http_version}\" %{NUMBER:http_status} %{NUMBER:bytes} \"(%{DATA:referrer}|-)\" \"%{DATA:http_agent}\" \"(%{DATA:forwarded}|-)\""
      }
    }
    mutate {
      remove_field => ["message","timestamp","http_status","ip"] #过滤掉日志中的message、timestamp、http_status、ip字段
    }
  }
  else if [fields][topic] == "nginx-error-log" {
    grok {
      match => {
        "message" => "%{DATA:timestamp} \[%{WORD:severity}\] %{NUMBER:pid}#%{NUMBER:tid}: %{GREEDYDATA:prompt}"
      }
    }
    mutate {
      remove_field => ["message","timestamp"]  #过滤掉日志中的message和timestamp字段
    }
  }
}

output {
  stdout{
    codec => rubydebug   #将数据输出到日志中,用于测试
  }
#  elasticsearch {
#    hosts => ["http://10.1.60.114:9200","http://10.1.60.115:9200","http://10.1.60.118:9200"]
#    index => "%{[@metadata][kafka][topic]}-%{+YYYY.MM.dd}"
#  }
}

查看一下日志

tail -f  /opt/logstash/logstash/logstash.log

 对比上图未过滤前输出的日志可以发现,message、http_status、ip、timestamp这些字段已经被过滤掉了,并没有被logstash输出

对于mutate过滤还有其它的用法,这里就不展示案例了,只在以下展示一些如何配置

vi /opt/logstash/logstash/config/logstash.conf

input {
  file {
    path => "/path/to/your/logfile.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "\[%{TIMESTAMP_ISO8601:timestamp}\] %{LOGLEVEL:loglevel}: User '%{USERNAME:username}' %{WORD:status} successfully." }
  }

  mutate {
    remove_field => ["message"]  # 删除原始日志行字段
    convert => {
      "timestamp" => "string"  # 将 timestamp 字段转换为字符串类型
    }
    gsub => [
      "username", "\.", "_"  # 将用户名中的点号替换为下划线
    ]
  }
}

output {
  stdout {
    codec => rubydebug
  }
}

以下是日志例子

[2023-07-01 10:30:15] INFO: User 'john.doe' logged in successfully.

使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 1079
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
Elastic Stack ELK日志分析平台介绍及使用
AI天才研究院
08-04 1805
18年,Elasticsearch、Logstash、Kibana(ELK)以及Apache Kafka等开源技术在数据处理和日志分析领域广受关注。作为一款开源分布式搜索和分析引擎,Elastic Stack 无疑是最热门的企业级日志解决方案之一。基于它的ELK组件架构可以快速搭建日志分析平台,支持复杂日志检索、提取、分析功能,具备强大的可视化能力,还可以通过RESTful API接口调用或Python客户端进行扩展。ELKELK Stack中的最后一环,用于将日志信息实时地收集、存储、分析并呈现给用户。
Logstash——Logstash过滤器(filter)对数据流量进行控制
大风的博客
05-20 6038
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对数据流量进行控制 Logstash提供了一些插件用来控制数据传输的流量。这个流量控制主要是: 削减数据量,剪除掉不需要的数据内容 控制数据来源的速度,减少想目标推送数据的频率 涉及这些操作的过滤器主要是下面: drop过滤器:删除掉经.
Logstash中Mutate过滤器的用法和常见配置项
迪之的博客
12-14 1599
Mutate过滤器是Logstash中一个非常常用的过滤器,它可以用于修改事件中的字段值,添加或删除字段等操作。下面详细介绍Mutate过滤器的用法和常见配置项。
Logstash Filter
Yuanshigou9的博客
02-22 843
ELK_Logstash Filter
Logstash——Logstash过滤器(filter)解析不同格式的数据
大风的博客
05-12 5717
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对不同格式数据的处理 Logstash涉及对不同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译成JSON格式 kv 解析键值对的数据 .
Logstash——使用Logstash过滤器(filter)对事件中的数据进行特殊处理
大风的博客
05-17 8426
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 对事件中的数据进行处理 很多时候我们传入logstash的原始数据并不是我们所需要传输的最终数据,这个时候需要我们队数据进行处理。而filter用来进行数据处理的插件主要是下面几个 alter:主要根据元素中的值,对其进行重新赋值 mutate:主要对元素中的值.
gateway过滤器中实现记录访问日志
u010186062的博客
03-16 3061
SpringGateway、Filter、Request、Response。
Spring Cloud Gateway关键点全局Token过滤器,局部过滤器接口耗时,全链路跟踪TraceId日志
zhzjn的博客
10-16 756
在Spring Cloud Gateway中,实现全局过滤器的目的是对所有进入系统的请求或响应进行统一处理,比如添加日志、鉴权等。
日志 过滤器 索引 数据源
最新发布
03-26
好的,我现在需要解决用户的问题:如何使用日志过滤器创建索引以及配置数据源。首先,我需要理解用户的具体需求。流日志通常指的是实时生成的数据流,比如服务器日志、网络流量日志等。用户可能希望对这些日志进行...
Logstash过滤器--grok
春天的道路依然充满泥泞!
10-25 708
参考链接https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
Logstash过滤器之Mutate过滤器详解
qq_26462567的博客
08-11 4779
Mutate(改变)过滤器插件 该文章内容参考官方文档7.8版本,由于使用范围有限并未翻译全篇文章 描述 Mutate过滤器允许你执行一些对字段的修改操作。你可以通过这个过滤器对事件中的字段进行重命名,移除,替换和修改。 处理命令 在Mutate过滤器的配置文件中可以执行如下命令: coerce rename update replace convert gsub uppercase capitalize lowercase strip remove split join merge copy 你可
关于logstash中的gsub 使用规则
weixin_38073361的博客
02-06 7283
关于logstash中的gsub 使用规则 先上一个官网 demo 官网例子 filter { mutate { gsub => [ # replace all forward slashes with underscore # 用下划线替换所有的斜杠 "fieldname", "/", "_...
Logstash:Logstash translate 过滤器简介
Elastic 中国社区官方博客
06-21 4111
Logstash具有一个有趣的功能,称为翻译过滤器 (translate filter)。 翻译过滤器用于根据字典或查找文件过滤传入数据中的特定字段。 然后,如果输入字段与字典查找文件中的条目匹配,则它将执行操作,例如,将字段添加到数据或发送电子邮件。这个和我们之前介绍的数据丰富是一样的。 一个简单的用例 也许你正在从Twitter索引数据,并想知道用户何时在其推文中提及某些特定单词。 创建一个被认为很有趣的单词列表。 每次在推文中提及该单词时,你都可以在数据中添加一个字段,以将数据标记为“int.
filter过滤器_logstash过滤器插件filter详解及实例
weixin_39550486的博客
11-27 424
logstash过滤器插件filtergrok正则捕获grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式grok的语法规则是:%{语法:语义}“语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样...
Logstash ——filter 四大过滤插件
q1y2y3的博客
07-12 1935
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
Logstash过滤filter插件
xc0309的博客
07-17 675
grok、date、mutate、multiline
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值