mutate使用(日志过滤)

最新推荐文章于 2024-10-16 21:43:36 发布
原创 最新推荐文章于 2024-10-16 21:43:36 发布 · 490 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk

文章介绍了Logstash中的mutate过滤器,用于日志事件字段的修改、删除和添加。通过示例展示了如何配合grok过滤器解析日志,然后使用mutate过滤掉无用字段,以实现日志数据的标准化,便于后续分析和存储。

1.前言

mutate 过滤器是Logstash中的一个常用过滤器,用于对事件中的字段进行修改、重命名、删除和添加操作。它提供了多种操作选项,如替换字段值、添加新字段、删除字段、重命名字段等。mutate 过滤器可以在事件流水线的任何阶段使用,且不需要匹配特定的模式,通常情况下,你可能需要先使用 grok 过滤器解析日志行并提取字段,然后使用 mutate 过滤器对提取的字段进行进一步处理或添加额外的字段。这样可以对日志数据进行解析、转换和标准化,以便后续的存储、分析和可视化操作

2.使用

先展示一下日志使用gork结构化后的情况

 这是未设置mutate过滤之前logstash输出的日志

tail -f  /opt/logstash/logstash/logstash.log

 

 我们在通过mutate过滤掉不需要的字段,编辑logstash配置文件

vi /opt/logstash/logstash/config/logstash.conf

input {
  beats {           #配置为beats,供filebeat调用
    port => 5044      #配置监听端口,用于接收filebeat传输过来的日志
    codec => "json"    #如果传输过来的是json格式日志则需要此项配置,否则就删掉此项配置
  }
}

filter {
  if [fields][topic] == "nginx-access-log" {
    grok {
      match => {
        "message" => "%{IP:ip} - (%{USERNAME:remote_user}|-) \[%{HTTPDATE:timestamp}\] \"%{WORD:request_method} %{URIPATHPARAM:request_url} HTTP/%{NUMBER:http_version}\" %{NUMBER:http_status} %{NUMBER:bytes} \"(%{DATA:referrer}|-)\" \"%{DATA:http_agent}\" \"(%{DATA:forwarded}|-)\""
      }
    }
    mutate {
      remove_field => ["message","timestamp","http_status","ip"] #过滤掉日志中的message、timestamp、http_status、ip字段
    }
  }
  else if [fields][topic] == "nginx-error-log" {
    grok {
      match => {
        "message" => "%{DATA:timestamp} \[%{WORD:severity}\] %{NUMBER:pid}#%{NUMBER:tid}: %{GREEDYDATA:prompt}"
      }
    }
    mutate {
      remove_field => ["message","timestamp"]  #过滤掉日志中的message和timestamp字段
    }
  }
}

output {
  stdout{
    codec => rubydebug   #将数据输出到日志中,用于测试
  }
#  elasticsearch {
#    hosts => ["http://10.1.60.114:9200","http://10.1.60.115:9200","http://10.1.60.118:9200"]
#    index => "%{[@metadata][kafka][topic]}-%{+YYYY.MM.dd}"
#  }
}

查看一下日志

tail -f  /opt/logstash/logstash/logstash.log

 对比上图未过滤前输出的日志可以发现,message、http_status、ip、timestamp这些字段已经被过滤掉了,并没有被logstash输出

对于mutate过滤还有其它的用法,这里就不展示案例了,只在以下展示一些如何配置

vi /opt/logstash/logstash/config/logstash.conf

input {
  file {
    path => "/path/to/your/logfile.log"
    start_position => "beginning"
  }
}

filter {
  grok {
    match => { "message" => "\[%{TIMESTAMP_ISO8601:timestamp}\] %{LOGLEVEL:loglevel}: User '%{USERNAME:username}' %{WORD:status} successfully." }
  }

  mutate {
    remove_field => ["message"]  # 删除原始日志行字段
    convert => {
      "timestamp" => "string"  # 将 timestamp 字段转换为字符串类型
    }
    gsub => [
      "username", "\.", "_"  # 将用户名中的点号替换为下划线
    ]
  }
}

output {
  stdout {
    codec => rubydebug
  }
}

以下是日志例子

[2023-07-01 10:30:15] INFO: User 'john.doe' logged in successfully.

使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 1164
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
Elastic Stack ELK日志分析平台介绍及使用
AI天才研究院
08-04 1997
18年,Elasticsearch、Logstash、Kibana(ELK)以及Apache Kafka等开源技术在数据处理和日志分析领域广受关注。作为一款开源分布式搜索和分析引擎,Elastic Stack 无疑是最热门的企业级日志解决方案之一。基于它的ELK组件架构可以快速搭建日志分析平台,支持复杂日志检索、提取、分析功能,具备强大的可视化能力,还可以通过RESTful API接口调用或Python客户端进行扩展。ELKELK Stack中的最后一环,用于将日志信息实时地收集、存储、分析并呈现给用户。
Logstash中Mutate过滤器的用法和常见配置项
迪之的博客
12-14 1774
Mutate过滤器是Logstash中一个非常常用的过滤器,它可以用于修改事件中的字段值,添加或删除字段等操作。下面详细介绍Mutate过滤器的用法和常见配置项。
Logstash Filter
Yuanshigou9的博客
02-22 971
ELK_Logstash Filter
Logstash——Logstash过滤器(filter)对数据流量进行控制
大风的博客
05-20 6173
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对数据流量进行控制 Logstash提供了一些插件用来控制数据传输的流量。这个流量控制主要是: 削减数据量,剪除掉不需要的数据内容 控制数据来源的速度,减少想目标推送数据的频率 涉及这些操作的过滤器主要是下面: drop过滤器:删除掉经.
Logstash——Logstash过滤器(filter)解析不同格式的数据
大风的博客
05-12 5863
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对不同格式数据的处理 Logstash涉及对不同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译成JSON格式 kv 解析键值对的数据 .
Logstash——使用Logstash过滤器(filter)对事件中的数据进行特殊处理
大风的博客
05-17 8508
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 对事件中的数据进行处理 很多时候我们传入logstash的原始数据并不是我们所需要传输的最终数据,这个时候需要我们队数据进行处理。而filter用来进行数据处理的插件主要是下面几个 alter:主要根据元素中的值,对其进行重新赋值 mutate:主要对元素中的值.
gateway过滤器中实现记录访问日志
u010186062的博客
03-16 3127
SpringGateway、Filter、Request、Response。
logstash采集日志时,日志文件包含aaa字段,现在想使用mutate对aaa字段的只进行修改
最新发布
08-01
在 Logstash 中,若需要使用 `mutate` 过滤器修改已存在的字段(如字段 `aaa`)的值,可以使用 `update` 或 `replace` 操作。两者的行为略有不同: - `update` 仅在字段存在时更新其值,若字段不存在则不做任何处理...
Spring Cloud Gateway关键点全局Token过滤器,局部过滤器接口耗时,全链路跟踪TraceId日志
zhzjn的博客
10-16 809
在Spring Cloud Gateway中,实现全局过滤器的目的是对所有进入系统的请求或响应进行统一处理,比如添加日志、鉴权等。
Logstash过滤器--grok
春天的道路依然充满泥泞!
10-25 734
参考链接https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html
Logstash常用配置和日志解析
热门推荐
牧竹子
08-12 8万+
logstash logstash是一个数据分析软件,主要目的是分析log日志。整一套软件可以当作一个MVC模型,logstash是controller层,Elasticsearch是一个model层,kibana是view层。 首先将数据传给logstash,它将数据进行过滤和格式化(转成JSON格式),然后传给Elasticsearch进行存储、建搜索的索引,kibana提供前端的页面再进行搜...
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
Logstash过滤器之Mutate过滤器详解
qq_26462567的博客
08-11 4954
Mutate(改变)过滤器插件 该文章内容参考官方文档7.8版本,由于使用范围有限并未翻译全篇文章 描述 Mutate过滤器允许你执行一些对字段的修改操作。你可以通过这个过滤器对事件中的字段进行重命名,移除,替换和修改。 处理命令 在Mutate过滤器的配置文件中可以执行如下命令: coerce rename update replace convert gsub uppercase capitalize lowercase strip remove split join merge copy 你可
关于logstash中的gsub 使用规则
weixin_38073361的博客
02-06 7365
关于logstash中的gsub 使用规则 先上一个官网 demo 官网例子 filter { mutate { gsub => [ # replace all forward slashes with underscore # 用下划线替换所有的斜杠 "fieldname", "/", "_...
Logstash:Logstash translate 过滤器简介
Elastic 中国社区官方博客
06-21 4292
Logstash具有一个有趣的功能,称为翻译过滤器 (translate filter)。 翻译过滤器用于根据字典或查找文件过滤传入数据中的特定字段。 然后,如果输入字段与字典查找文件中的条目匹配,则它将执行操作,例如,将字段添加到数据或发送电子邮件。这个和我们之前介绍的数据丰富是一样的。 一个简单的用例 也许你正在从Twitter索引数据,并想知道用户何时在其推文中提及某些特定单词。 创建一个被认为很有趣的单词列表。 每次在推文中提及该单词时,你都可以在数据中添加一个字段,以将数据标记为“int.
filter过滤器_logstash过滤器插件filter详解及实例
weixin_39550486的博客
11-27 456
logstash过滤器插件filtergrok正则捕获grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式grok的语法规则是:%{语法:语义}“语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样...
Logstash ——filter 四大过滤插件
q1y2y3的博客
07-12 2058
语法:(?举例:捕获10或11和长度的十六进制数的queue_id可以使用表达式(?filter {grok {如果表达式匹配失败,会生成一个tags字段,字段值为 _grokparsefailure,需要重新检查上边的match配置解析是否正确。
Logstash过滤filter插件
xc0309的博客
07-17 744
grok、date、mutate、multiline
日志 过滤器 索引 数据源
03-26
<think>好的,我现在需要解决用户的问题:如何使用日志过滤器创建索引以及配置数据源。首先,我需要理解用户的具体需求。流日志通常指的是实时生成的数据流,比如服务器日志、网络流量日志等。用户可能希望对这些日志进行过滤,然后将处理后的数据存储到索引中,以便后续的快速查询和分析。 接下来,我应该考虑用户提到的“流日志过滤器”和“索引”的结合。根据提供的引用,特别是引用[2]中提到了Elasticsearch的索引管理和Filebeat的使用,可能用户的环境涉及Elastic Stack(ELK)。因此,推测用户可能在使用Elasticsearch、Logstash、Filebeat等工具。 首先,配置数据源方面,常见的做法是使用Filebeat来收集流日志数据。Filebeat可以监控指定的日志文件或流,然后将数据发送到Logstash或直接到Elasticsearch。用户需要配置Filebeat的输入和输出,指定日志路径以及目标地址。例如,在filebeat.yml中设置paths为日志文件的路径,输出到Logstash的地址和端口。 然后是过滤器的配置。Logstash在这里扮演重要角色,因为它提供了丰富的过滤器插件,如grok、mutate、date等,可以对日志数据进行解析和转换。用户需要根据日志格式编写grok模式,提取所需字段,并可能进行类型转换或删除无用字段。例如,使用grok匹配日志中的时间戳、日志级别、消息内容等。 接下来是创建索引部分。在Elasticsearch中,索引的创建可以通过Logstash自动完成,根据指定的索引模板或ILM(索引生命周期管理)策略。用户需要定义索引的名称模式,可能包含时间戳以便滚动更新。同时,可能需要配置索引的映射(mapping),确保字段类型正确,比如将时间字段设为date类型,数值字段设为integer或float等。引用[2]提到ILM和数据流管理,这可能涉及索引的生命周期,如热阶段、温阶段、冷阶段的配置,自动滚动和删除旧数据。 此外,用户可能还需要考虑性能优化,比如分片和副本的数量设置,以及使用布隆过滤器(如引用[3]提到的)来优化查询性能,减少缓存穿透问题。不过,布隆过滤器在这里可能更多用于查询时的优化,而不是索引创建阶段。 可能的实现步骤总结为: 1. 使用Filebeat收集流日志,配置输入和输出到Logstash。 2. 在Logstash中配置过滤器链,处理日志数据。 3. 定义Elasticsearch索引模板,设置映射和ILM策略。 4. 将处理后的数据发送到Elasticsearch,自动创建索引。 需要验证每个步骤的配置是否正确,比如Filebeat能否成功发送数据,Logstash的grok是否解析正确,Elasticsearch是否按模板创建索引。同时,用户可能需要查阅Elasticsearch和Logstash的官方文档,确保语法正确,特别是索引模板的JSON结构和Logstash配置文件的语法。 最后,用户可能需要测试整个流程,查看索引中的数据是否符合预期,是否能够高效查询。如果遇到问题,可能需要检查日志中的错误信息,如Filebeat或Logstash的日志,排查配置错误或网络连接问题。</think>要使用日志过滤器创建索引并配置数据源,可以按照以下步骤操作: --- ### **1. 配置数据源采集** **使用Filebeat收集流日志** - 安装Filebeat后,在`filebeat.yml`中配置输入和输出: ```yaml filebeat.inputs: - type: filestream paths: - /var/log/stream/*.log # 流日志路径 output.logstash: hosts: ["logstash-server:5044"] # 输出到Logstash ``` 通过此配置,Filebeat会将流日志实时发送到Logstash[^2]。 --- ### **2. 配置流日志过滤器** **在Logstash中实现过滤** 创建Logstash配置文件`logstash-filter.conf`: ```ruby input { beats { port => 5044 } } filter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值