ELK - Logstash - 过滤日志输出

本文介绍如何使用Filebeat和ELK堆栈部署日志过滤程序,特别关注错误日志的提取与处理。通过Logstash的配置,演示了从特定格式的日志中筛选并输出错误级别的日志条目。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过Filebeat + ELK 可以部署一个日志过滤的程序。

可以将过滤出来的日志记录保存到任何地方,做保存、计算等用途。

 

实验开始了!我们过滤出错误日志,再输出

==============================================================================

日志格式:

2018-12-27 21:48:50,512 [Test-ELK] ERROR id=42, myname=dbwtest03bc.daodao.com, myaddr=192.168.4.17, c1=84, c2=d, c3=f, c4=aHikMq

logstash命令配置:

./logstash -e 'input { beats { port => 5044 } } filter { grok { match => { "message" => "%{DATESTAMP:time}%{SPACE}\[%{DATA:title}\]%{SPACE}%{LOGLEVEL:level}%{SPACE}%{GREEDYDATA:message}" } } } output { if [level]== "ERROR" { stdout { } } }'

输出结果:

{
           "host" => {
        "containerized" => true,
                   "os" => {
            "platform" => "centos",
             "version" => "7 (Core)",
              "family" => "redhat",
            "codename" => "Core"
        },
                 "name" => "dbwtest03bc.daodao.com",
         "architecture" => "x86_64",
                   "id" => "6787d9310dd84654ab8871f64df6f6d7"
    },
     "@timestamp" => 2018-12-28T02:48:53.335Z,
           "time" => "18-12-27 21:48:50,512",
         "offset" => 390397,
         "source" => "/root/test_elk/test_elk.log",
     "prospector" => {
        "type" => "log"
    },
        "message" => "2018-12-27 21:48:50,512 [Test-ELK] ERROR id=42, myname=dbwtest03bc.daodao.com, myaddr=192.168.4.17, c1=84, c2=d, c3=f, c4=aHikMq",
          "level" => "ERROR",
          "input" => {
        "type" => "log"
    },
           "beat" => {
         "version" => "6.5.4",
            "name" => "dbwtest03bc.daodao.com",
        "hostname" => "dbwtest03bc.daodao.com"
    },
          "title" => "Test-ELK",
    "log_message" => "id=42, myname=dbwtest03bc.daodao.com, myaddr=192.168.4.17, c1=84, c2=d, c3=f, c4=aHikMq",
       "@version" => "1",
           "tags" => [
        [0] "beats_input_codec_plain_applied"
    ]
}

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值