日志解析--ldetool

最新推荐文章于 2024-08-27 08:03:48 发布
原创 最新推荐文章于 2024-08-27 08:03:48 发布 · 1.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#go

本文档介绍了如何在Windows环境下使用ldetool替代grok进行日志解析,以提升性能。通过示例展示了创建.lde规则文件、处理gomod报错、生成结构体对象的过程,并在遇到命令行错误时进行解决。同时,文中还包含了在Linux环境下执行相同操作的步骤,包括ldetool命令的正确用法。

背景:

使用grok解析日志做字段拆分,性能上可能存在问题,尝试使用ldetool,与grok做下对比。

安装(windows)

下载压缩包:ldetool
使用idea打开
当前目录是 D:\webwork\ldetool
在这里插入图片描述

实践

  1. 项目里已存在的demo是上图中红框所示的三个文件,下面按照README.md的步骤进行生成自己的demo,以便更容易熟悉其逻辑。

  2. 首先解决go mod的报错在这里插入图片描述
    直接删除go.mod里有关github.com/sirkon/gosrcfmt的配置即可

  3. README.md有下面一段话

    First write extraction script, we usually name it `<something>.lde`
……
The recommended way is to put something like `//go:generate ldetool -- package main Line.lde` in `generate.go` of a package and then generate a code with `go generate <project path>`

  4. 所以新建一个文件,如line.lde,填写以下内容

     Line = 
 ^'[' Time(string) ']' 
 ^" FETCH " 
 ^"first[" First(uint8) ']'[1]
 ^" format[" Format(string) ~']'
 ?Hidden (^" hidden[" Value(string) ']')
 ^" userAgent[" UserAgent(string) ']'
 _ "country[" Country(string)  ']'
 ;

    匹配的日志内容如下:

    [2017-09-02T22:48:13] FETCH first[1] format[JSON] hidden[0] userAgent[Android App v1.0] rnd[21341975] country[MA]
[2017-09-02T22:48:14] FETCH first[0] format[JSON] userAgent[Android App v1.0] rnd[10000000] country[LC]

    具体语法可以查看TOOL_RULES.md

  5. 新建文件line.go,填写如下(包含双斜杠):

    //go:generate ldetool --package main line.lde

  6. terminal执行命令go generate D:\webwork\ldetool,出现如下错误
    在这里插入图片描述
    line.go文件里就这行,然后报错了。试了几次后发现需要加个第行,就可以执行成功了。

    在这里插入图片描述
    执行成功结果
    在这里插入图片描述
    生成相关处理该格式的日志的结构体对象
    在这里插入图片描述

  7. 编写gotest,日志内容是[2017-09-02T22:48:13] FETCH first[1] format[JSON] hidden["1"] userAgent[Android App v1.0] rnd[21341975] country[MA]
    在这里插入图片描述 8. 执行结果如下:
    在这里插入图片描述

Linux下实践

1、进入安装目录,rz -e 将windows下的压缩包拷贝到该目录,使用unzip命令解压。然后修改go.mod文件,与上述一样。
2、同样的创建line.lde、line.go文件,然后执行命令go generate /home/op/ldetool-master
3、报如下错误
generate.go:3: running "ldetool": exec: "ldetool": executable file not found in $PATH
4、所以尝试编译main文件进generate,go run main.go dicts.go,出现如下提示
Usage: main [--yaml-dict YAML-DICT] [--json-dict JSON-DICT] [--package PACKAGE] [--big-endian] [--little-endian] [--go-string] [--version] [FILE [FILE ...]] error: missing file name with LDE rules exit status 255
5、按照提示重新执行如下命令,go run main.go dicts.go --package main line.lde,执行成功,显示如下
在这里插入图片描述

ldetool:用于快速日志文件解析器的代码生成器
02-04
ldetool表示线数据提取工具 ldetool是一个命令行实用程序,用于生成Go代码以快速解析日志文件。 GO111MODULE=on go get github.com/sirkon/ldetool 这个怎么运作。 首先编写提取脚本,我们通常将其命名为<something>.lde 使用ldetool <something> --package main生成go代码。 当然,您可以使用自己的软件包名称,而不仅仅是main 通过生成的提取方法Parse(line []byte)使用它。 事实证明,即使在处理字符串而不是字节片的非高性能任务中,我们也喜欢使用它,并且无需手动类
日志字段解析
weixin_30505751的博客
11-10 596
ucloud CDN日志解析 以下是日志字段对应的解释: 123.182.27.160 - - [09/Nov/2015:00:02:09 +0800] "GET h...
ldetool 项目使用教程
gitblog_00398的博客
08-27 461
ldetool 项目使用教程 1. 项目的目录结构及介绍 ldetool 是一个用于生成 Go 代码以快速解析日志文件的命令行工具。以下是项目的目录结构及其介绍: ldetool/ ├── cmd/ │ └── ldetool/ │ └── main.go ├── example/ │ ├── demo.lde │ └── demo.go ├── generator/ │ ...
Golang 按行解析日志测试 ldetool
orangleliu 笔记本
12-16 2252
比较早的时候写过一篇 Python Golang 解析web日志正则一例 当时发现 Golang的正则模块性能不是很好。最近在逛 reddit的时候发现了这样一篇文章 Fast log parsing with Go ,文中提到了一个基于行做半结构化解析的库ldetool, 于是又做了一些尝试和学习。 ldetool 这个工具更像一个DSL,通过一种语法来写解析的语法,然后通过 ldetool g...
日志分析简单总结
lizhiiiii的博客
04-23 1746
误报:不是攻击而上报成攻击漏报:是攻击而没有防御的情况日志分析可以判断是否误判或者漏判,可以溯源攻击行为在护网作为防守方必备的技能(分析NGAF和态势感知,发现异常)
展讯SPRD平台Log工具"YLog"AP日志解析脚本 - analyzer.py
06-04
展讯SPRD平台抓取Log工具"YLog...通过工具直接抓取的Log是具有特定格式的加密日志文件,需要通过脚本解析来还原真实Log,有时候客户提供的Log压缩包可能不是完整的,仅提供了关键的Log文件,这个时候就需要解析脚本了。
论文《Logram:使用n-Gram词典的高效日志解析》翻译
08-14
日志解析,即将无结构的原始日志转化为结构化数据。然而,日志解析具有挑战性,因为日志是由源代码中的静态模板(即,日志语句)生成的,但在解析日志时这些模板通常是不可访问的。先前的研究提出了自动化日志解析...
node-cloudfront-log-parser:用于CloudFront Web和RTMP访问日志解析
05-01
CloudFront访问日志解析器 这是Cloudfront Web Distribution和RTMP Distribution访问日志日志解析器。 可以直接调用它,也可以使用Node.js Stream API调用它。 安装 npm install --save cloudfront-log-parser ...
canal-1.1.3:运河原始解析-源码解析
03-24
不过早期的数据库同步业务,主要是基于trigger的方式获取增量变化,不过从2010年开始,阿里系公司开始初步的尝试基于数据库的日志解析,获取增量变更进行同步,转换衍生出了增量订阅和消费的业务,从此开启了一段新...
aws-api-gateway-log-parser:AWS API 网关日志解析
07-24
该模块旨在通过将单个请求的日志解析为 JSON 对象来解决此问题,然后可以轻松地对其进行分析。 安装 npm install aws-api-gateway-log-parser --save 用法 通常,这在由 API 网关的执行日志触发的 lambda 函数中...
日志分析-apache日志分析
m0_50572593的博客
06-13 4093
玄机-第二章日志分析-apache日志分析- 1、提交当天访问次数最多的IP,即黑客IP: 2、黑客使用的浏览器指纹是什么,提交指纹的md5: 3、查看index.php页面被访问的次数,提交次数: 4、查看黑客IP访问了多少次,提交次数: Apache日志分析是网站管理和维护的重要部分,通过分析Apache服务器生成的日志文件,可以了解网站的访问情况、识别潜在的安全问题、优化网站性能等。Apache日志主要有两种类型:访问日志(access log)和错误日志(error log)。
Golang实战之海量日志收集系统(一)项目背景介绍
普通Gopher
03-22 3184
项目背景 每个系统都有日志,当系统出现问题时,需要通过日志解决问题 当系统机器比较少时,登陆到服务器上查看即可满足 当系统机器规模巨大,登陆到机器上查看几乎不现实 每个业务系统都有自己的⽇志,当业务系统出现问题时,需要通过查找⽇志信息来定位和解决问题。 当业务系统服务器⽐较少时,登陆到服务器上查看即可满⾜。但当系统机器规模巨⼤,登陆到服务器上查看⼏乎不现实(分布式的系统,⼀个系统部署在⼗⼏甚至...
golang基础-tailf日志组件使用
全干工程师
11-18 7266
git上log日志组件 https://github.com/hpcloud/tail/blob/master/tail.go我们写个test来测试下这个组件package mainimport ( "fmt" "github.com/hpcloud/tail" "time" ) func main() { filename := "E:\\develop\\kaf
Golang指南:顶级Golang框架、IDE和工具列表
QQ1528884535的专栏
09-22 1145
译文链接:http://www.codeceo.com/article/golang-framework-ide-tools.html英文原文:Golang Guide: A List ...
[Gerrit] 日志分类和字段解析
NopDes1re的专栏
02-08 2786
Gerrit 日志位于 gerrit-site/logs 目录下,主要有以下几种:error_log、httpd_log、sshd_log、replication_log 默认的,日志每天会自动压缩存储,所以在该目录下会出现 gz 文件。 各个日志的字段含义,见下文具体解析 error_log 导致 gerrit server 启动失败的日志 [date time]:时间戳. [thread name]: : name of the Java thread executing the requ.
nginx日志详解
weixin_33775572的博客
11-04 242
语法: log_format name string …;默认值: log_format combined “…”;log_format access_format '$remote_addr - $remote_user [$time_local] "$request" '$status $body_bytes_sent "...
使用ES解析日志字段
weixin_45217447的博客
08-07 3687
1.es的背景 (1)Elasticsearch基于Java语言开发,所以在安装Elasticsearch之前必须先安装JDK,Elasticsearch7要求安装JDK1.8以上版本; (2)kibnan在ELK家族中主要起到数据可视化的作用,通过表,图,统计等不同的方式将数据以更加直观的方式显示,同时kibana必须运行于Elasticsearch的基础上,即kibana就是Elasticsearch的可视化GUI; (3)Filebeat是beat组件的一种类型,filebeat一般安装在宿主机,用于
Nginx日志中字段解析——正则表达式
瓜牛呱呱的博客
06-16 5923
([^ ]*) ([^ ]*) ([^ ]*) (\[.*\]) (\".*?\") (-|[0-9]*) (-|[0-9]*) (\".*?\") (\".*?\")来源:https://www.iteblog.com/archives/1250.html
王树森深度强化学习课程学习笔记与代码实现项目-深度强化学习理论解析算法推导PyTorch实战案例Q-learning策略梯度Actor-Critic蒙特卡洛方法时.zip
最新发布
11-27
王树森深度强化学习课程学习笔记与代码实现项目_深度强化学习理论解析算法推导PyTorch实战案例Q-learning策略梯度Actor-Critic蒙特卡洛方法时.zipVS Code EIDE开发环境配置
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值