Graylog之Grok解析

最新推荐文章于 2025-01-03 22:20:53 发布
最新推荐文章于 2025-01-03 22:20:53 发布
阅读量1.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 日志监控 文章标签: graylog java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/WEDUEST/article/details/128427406

📚概述

通常情况下,原始日志被采集上来之后,需要通过编写正则进行日志字段的解析,以便用来进行日志分析,看板的制作。

📗Grok Patterns配置

graylog默认提供了很多规则,如果可以满需求,直接使用即可。没有可用的可根据正则表达式自定义配置

🎄graylog新增Grok Patterns配置

  1. 点击System/Grok Patterns,进入页面后点击Create pattern新增规则

image.png
image.png
配置完规则就可以使用了。具体操作如下:
Search中选中一条消息,点击message,点击小三角选择create extractor,然后选择Grok Pattern
image.png
image.png
根据选中的message进行配置
image.png
image.png

格式说明:

  • 简单讲解一下以^%{IP:remote_addr} 为例,^代表日志开头,大括号里面的IP代表名为IPgrok pattern,可以在**System/Grok pattern**中查到,冒号后边就是你要存储的字段名称为remote_addr
  • 每一个配置中间需要加一个空格,否者会报错,例如:%{TIMESTAMP_ISO8601:time_local} %{LOGLEVEL:level_name}

配置完以后,后续的日志就会按照配置规则进行分割,再次查看日志时,已经按照规则进行切割了
image.png

注意:

  • Named captures only要勾选,这样配置就会按照我们指定的名称显示,否者会显示很多

image.png

配置完的规则可以在System/inputs中查看
image.png
image.png

📐自定义日志配置示例

  1. 分发日志格式
# 格式:字段间以空格分开,前边标志信息和后续的日志信息用英文:分隔 包含空格。格式-> 时间 日志级别 代码信息 机器名称 ip地址 : 日志信息
时间                日志级别 日志代码位置             机器名称   IP地址        :  日志信息 
2022-08-29 13:52:34 INFO [UnzipServer.cpp row:129] [SERVER_NAME:75本机] 192.168.124.75 : 收到下载列表,调用下载功能!
  1. 配置
%{TIMESTAMP_ISO8601:time_local} %{LOGLEVEL:level_name} %{CLASS_NAME_AND_ROW:class_info} %{SERVER_NAME:server_name} %{IP:client_ip}

配置说明:
%{TIMESTAMP_ISO8601:time_local}:解析日志时间,存储为time_local
%{LOGLEVEL:level_name}:解析日志级别,存储字段为level_name

自定义正则:CLASS_NAME_AND_ROW

\[\s*[a-zA-z0-9]+\.[a-zA-z0-9]+\s*[a-zA-z]+\:[0-9]*\s*\]   # [UnzipServer.cpp row:129] 匹配  \s*匹配为一个或多个空格
  1. 解析结果
time_local
2022-08-29 15:02:59
level_name
INFO

💡nginx日志配置示例

nginx日志格式

log_format  main  '$remote_addr - $remote_user [$time_local] "$http_host" "$request" '
                  '$status $body_bytes_sent $request_length $content_length'
                  '"$http_referer" "$http_user_agent" "$http_x_forwarded_for"'
                  '"$upstream_addr" "$request_time" "$upstream_response_time"';

根据log_format的输出格式编写相应的正则表达式。
简单讲解一下以^%{IP:remote_addr} 为例,^代表日志开头,大括号里面的IP代表名为IPgrok pattern,可以在System/Grok pattern中查到,冒号后边就是你要存储的字段名称为remote_addr

%{IP:remote_addr}%{SPACE}-%{SPACE}%{DATA:remote_user}%{SPACE}\[%{HTTPDATE:time_local}\]%{SPACE}\"%{DATA:http_host}\"%{SPACE}\"%{NOTSPACE:method} %{NOTSPACE:url}%{SPACE}%{NOTSPACE:http_version}\"%{SPACE}%{NOTSPACE:status}%{SPACE}%{NOTSPACE:body_bytes_sent}%{SPACE}%{NOTSPACE:request_length}%{SPACE}%{NOTSPACE:content_length}%{SPACE}\"%{DATA:http_referer}\"%{SPACE}\"%{DATA:http_user_agent}\"%{SPACE}\"%{DATA:http_x_forwarded_for}\"%{SPACE}\"%{DATA:upstream_addr}\"%{SPACE}\"%{DATA:request_time}\"%{SPACE}\"%{DATA:upstream_response_time}\"

日志示例:

192.168.124.77 - - [02/Sep/2022:15:12:40 +0800] "10.0.204.66:18099" "GET /gdmp/biz_panorama/biz/alarm_statistic HTTP/1.1" 200 7741 781 -"http://localhost:8090/devops/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36" "127.0.0.1""10.0.204.66:18090" "0.104" "0.103"

Grok Pattern

%{IP:remote_addr}%{SPACE}-%{SPACE}%{DATA:remote_user}%{SPACE}\[%{HTTPDATE:time_local}\]%{SPACE}\"%{DATA:http_host}\"%{SPACE}\"%{NOTSPACE:method} %{NOTSPACE:url}%{SPACE}%{NOTSPACE:http_version}\"%{SPACE}%{NOTSPACE:status}%{SPACE}%{NOTSPACE:body_bytes_sent}%{SPACE}%{NOTSPACE:request_length}%{SPACE}%{NOTSPACE:content_length}%{SPACE}\"%{DATA:http_referer}\"%{SPACE}\"%{DATA:http_user_agent}\"%{SPACE}\"%{DATA:http_x_forwarded_for}\"%{SPACE}\"%{DATA:upstream_addr}\"%{SPACE}\"%{DATA:request_time}\"%{SPACE}\"%{DATA:upstream_response_time}\"

📜Java日志配置

日志格式
<!--格式化输出:%d表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度%msg:日志消息,%n是换行符-->
<property name="LOG_FORMAT" value="%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{50} - %msg%n"/>
日志示例
2022-11-03 15:46:58.478 [http-nio-8081-exec-3] ERROR c.a.g.controller.LogGenerateController - error级别199952
Grok Patterns配置
%{TIMESTAMP_ISO8601:log_time} \[%{NOTSPACE:thread_name}\] %{LOGLEVEL:level_name} %{NOTSPACE:logger_name}
解析结果

image.png

📖参考资料

  1. 常用日志正则解析grok pattern
  2. [日志分析]Graylog2进阶 通过正则解析Nginx日志
  3. graylog 使用之 编写 grok 表达式_qq_33451502的博客-优快云博客_graylog grok
  4. nginx 日志配置不生效的问题 - 走看看
  5. [日志分析]Graylog2采集Nginx日志 主动方式
  6. Graylog最佳实践
  7. nginx日志格式详解 - 爱码网
1、graylogs介绍
xuebo1129927648的博客
05-31 126
Graylog 通过集成 Elasticsearch 和 MongoDB,提供了一套完整的日志管理解决方案,适合需要集中监控、分析日志的企业和团队。其核心优势在于开源、可扩展性和灵活的查询能力,但需注意组件依赖和资源优化问题。通过合理配置管道、索引和告警策略,Graylog 能有效提升日志处理效率,为运维、安全和业务分析提供有力支持。
深入解析 Python 应用日志监控:ELK、Graylog 的实战指南
最新发布
windowshht的博客
05-01 341
在现代应用开发中,日志不仅仅是用于记录错误和调试信息,它更是系统运行状况的窗口,帮助开发者和运维人员监控、优化应用性能。而 ELK(Elasticsearch、Logstash、Kibana)和 Graylog 等集中日志管理系统,提供了强大的日志收集、分析和可视化功能,使得 Python 应用的状态监控更加直观、高效。本文将深入剖析如何将 Python 应用与 ELK 和 Graylog 集成,并提供完整的代码示例,帮助你构建高效的日志监控方案。在传统应用日志管理中,我们通常使用。在 Python 中,
Grok:深入解析日志与数据的强大工具
Songxianshengbei的博客
03-19 1519
随着日志数据的不断增长和复杂性的提升,Logstash团队意识到需要一个更加强大和灵活的解析引擎来处理这些日志,于是Grok应运而生。通过定义一系列的模式(patterns),Grok能够匹配和解析各种格式的日志数据,提取出有用的信息并以结构化的方式呈现出来。而Grok,作为一款强大的日志解析和数据提取工具,为我们提供了一种高效、灵活的方式来处理这些海量的信息。更加强大的解析能力:随着日志数据的不断增长和复杂性的提升,Grok需要不断增强其解析能力以应对各种复杂的日志格式和数据类型。
使用grok解析日志文件
gkkljy的博客
03-04 1133
try { File file = new File("C:\\Users\\Administrator\\Desktop\\220301.log") ; //创建对象集合,存储需要解析保存的字段 ArrayList<LogAnalysis> list = new ArrayList<>(); //构造一个BufferedReader类来读取文件 BufferedR
elk笔记4--grok正则解析
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
05-04 1598
elk笔记4--grok正则解析1 grok 切分方法2 grok 切分案例3 说明 1 grok 切分方法 grok切分规则可按照如下思路进行。 1)找准切分标志,以切分标志作为中心向左或者向右逐个字段抽出,对于正则中的通配符需要进行转义处理,否则这类字符作为分割标志的时候容易解析出错 2)也可以直接从左到右逐个字段取出 2 grok 切分案例 案例1内容: 2016/04/27 12:22...
graylog 使用之 编写 grok 表达式
qq_33451502的博客
11-25 1516
grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本并映射到关键字的工具。通常用来对日志数据进行预处理。 graylog 集成了 grok ,可以使用grok表达式 对日志进行 拆分匹配。 1.grok调试网址 :http://grokconstructor.appspot.com/ (这个是外国的网址,需要科学上网进行浏览。) 进入grok...
DT:Grok patterns
Kant2048的博客
09-11 792
Grok patterns 是一种用于日志解析的工具,它允许用户从非结构化的日志数据中提取结构化信息。Grok 是 Logstash 等日志处理工具中的一个关键功能,它的灵感来源于 Unix 中的sedawk等文本处理工具,并且借鉴了正则表达式的匹配能力。
graylog怎么添加grok
12-07
以下是在Graylog中添加Grok的步骤:...7.现在,您可以在Graylog中使用Grok模式来解析消息。要使用Grok模式,请创建一个提取器并选择“Grok模式”作为提取器类型。然后,选择您刚刚创建的Grok模式并将其应用于消息字段。
graylog+sidecar通过docker-compose部署并采集SSH登录日志
菜鸟运维升级之路
01-03 995
本篇文章以采集ssh登录日志为例,结合docker、docker-compose对graylog+sidecar采集日志系统的搭建部署、日志采集流程、配置方法做一个详细的介绍,相比于ELK,graylog日志平台在国内比较冷门.能用的知识比较少,只有一个官网博客.但是我维护的项目中实际用的是graylog,对比ELK比较轻量且维护性强。话不多说,开始展示.正则玩的好的话,用graylog会轻松很多的!!
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4482
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
graylog日志分析管理系统入门教程
xllntld的专栏
09-27 4504
日志分析系统可以实时收集、分析、监控日志并报警,当然也可以非实时的分析日志。splunk是功能强大且用起来最省心的,但是要收费,免费版有每天500M的限制,超过500M的日志就没法处理了。ELK系统是最常见的,缺点是配置麻烦一些,比较重量级。graylog是开源免费的,配置上要比ELK系统简单。综上,本文尝试容器方式搭建一套graylog系统,不做实时收集日志和报警的配置,只完成非实时被动接收网站日志,分析日志各项指标的功能。 docker官方镜像国内速度我觉得慢,改成国内镜像。新建文件daemon.jso
grok - 一个强大的日志分析工具
gitblog_00002的博客
03-14 906
grok - 一个强大的日志分析工具 项目简介 grok 是一款用于解析各种结构化或非结构化数据的强大工具。它可以将原始日志文件转换为易于理解和处理的结构化信息,帮助开发者快速定位并解决问题。 grok 的核心是基于正则表达式的设计,支持自定义模式库,并提供了丰富的预定义模式供您选择。无论是常见的 Web 服务器日志还是复杂的 JSON 格式日志grok 都可以轻松应对。 应用场景 grok...
graylog通过提取器extractor解析日志
yuzhu
07-14 1326
graylog通过提取器extractor解析日志
Logstash:日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3583
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
java使用grok解析日志文件
我的博客
07-07 6395
在项目中会产生大量的日志以方便问题跟踪,有时需要统计分析系统运行期间的日志,例如:分析系统使用情况,使用人数,系统错误信息等等。根据不同的日志类别,生成可视化图表展示,所以就需要需要对日志进行处理,将每一行拆分成多个字段,存入数据库或者es,便于统计分析,生成报表。 由于之前没有接触过,网上通过搜集资料,找到使用logstash来分割反向代理的日志,由单个简单的正则组合,就能对一大段文字进行切割,惊叹与简单可配置。后来找到了java也可以通过Grok进行日志的统计分析,Grok进行日志处理的好处有:1:默
java grok 提取日志_ELK使用Grok解析日志
weixin_36218360的博客
02-16 835
一、简介Grok是迄今为止使蹩脚的、无结构的日志结构化和可查询的最好方式。Grok解析 syslog logs、apache and other webserver logs、mysql logs等任意格式的文件上表现完美。二、入门例子下面是一条tomcat日志:83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/l...
Grok patterns 汇总
weixin_30390075的博客
02-16 654
S3_REQUEST_LINE (?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})S3_ACCESS_LOG %{WORD:owner} %{NOTSPACE:bucket} \[%{HTTPDATE:timestamp}\] %{IP:clientip} %{NOTSPAC...
grok正则解析mysql slowlog
qq_37256882的博客
12-28 853
mysql的slowlog通过filebeat处理,合并为一行以后,格式还是比较复杂的,通过百度可以网上查到一些grok表达式,但有的可用,有的不可用,也没有对此进行解析,比较难看懂。处理也比较简单,因为最后肯定是sql语句,所以使用了GREEDYDATA这个表达式,匹配所有字符。因为标准的grok正则表达式是不能匹配换行符的,如果有换行符,必须要单独做处理。我们把第一行和第二行的表达式合并起来发现是报错的,为什么呢?后面的IP,NUMBER均为预定义表达式,比较好理解。首先解析第一行,对应的表达式为。
Grok解析 centos 的 nginx 原生格式日志
hhhzua的专栏
02-04 661
centos系统的nginx原生格式如下: 112.95.209.146 - - [13/Jun/2019:09:32:50 +0800] "GET /css/web.css HTTP/1.1" 200 27518 "http://www.hezehua.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, li...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值