Logstash的KV模式自动将数字转换成整数

最新推荐文章于 2025-11-18 15:26:09 发布
原创 最新推荐文章于 2025-11-18 15:26:09 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#logstash #elasticsearch #ELK

本文介绍如何使用Logstash的Ruby插件自动将分割后的字符串转换为整数,以便于后续的数据处理与聚合搜索。

logstash的kv模式分割后的全部字符在Elasticsearch里面的数据类型全都是string,这样聚合搜索很不方便,于是利用ruby插件实现一下自动转整数的kv模式

## logstash 5.x,由于logstash5.x不支持直接修改值,直接把值copy出来修改然后重新写进去
filter {
    ruby {
        code => "
            fieldArray = event.get('[message][message]').split(/\u001F/);
            kv = {};
            for field in fieldArray
                name = field.split('=')[0];
                value = field.split('=')[1];
                if value =~ /\A\d+\Z/
                    kv[name]=value.to_i
                else
                    kv[name]=value
                end
            end
            event.set('[monitor]',kv);
        "
    remove_field => ["[message][message]"]
    }
}
### logstash 2.x
filter{
    ruby {
        code => "
            fieldArray = event['message'].split(/\u001F/);
            for field in fieldArray
                name = field.split('=')[0];
                value = field.split('=')[1];
                if value =~ /\A\-?\d+\Z/
                    event[name] = value.to_i
                else
                    event[name] = value
                end
            end
        "
    }
}
基于 Flink 的百亿数据去重实践
http://www.54tianzhisheng.cn/
09-22 2051
在工作中经常会遇到去重的场景,例如基于 App 的用户行为日志分析系统,用户的行为日志从手机客户端上报到 Nginx 服务端,通过 Logstash、Flume 或其他工具将日志从 Nginx 写入到 Kafka 中。 由于用户手机客户端的网络可能出现不稳定,所以手机客户端上传日志的策略是:宁可重复上报,也不能丢日志。所以导致 Kafka 中必然会出现日志重复的情况,即:同一条日志出现了 2 条或...
提示工程架构师实战:日志聚合分析解决模型响应慢问题
大数据洞察的博客
08-07 353
想象你经营着一家火爆的"AI智能餐厅"——顾客(用户)通过菜单(API)点单(发送提示),后厨(大语言模型)制作菜品(生成响应),而你(提示工程架构师)是餐厅经理。最近总有人抱怨:“我的菜等了半小时还没上!”(模型响应慢)。你不能只盯着厨师(模型)骂,得知道是食材采购慢(数据输入)、备菜流程乱(提示处理),还是厨师同时炒10个锅(并发阻塞)。日志聚合分析就是你的"餐厅运营监控系统"——收集前厅(API网关)、后厨(模型服务)、仓库(数据库)的所有小票(日志),从中找出"出餐慢"的真凶。
ELK logstash KV过滤插件
小楼一夜听春雨,深巷明朝卖杏花
12-21 1793
过滤插件:通用配置字段 add_field 如果过滤成功,添加一个字段到这个事件 add_tags 如果过滤成功,添加任意数量的标签到这个事件 remove_field 如果过滤成功,从这个事件移除任意字段 remove_tag 如果过滤成功,从这个事件移除任意标签 Description This filter helps automatically parse messages (or specific event fields) which are of thefoo=b..
Logstash】filter.kv插件使用教程(附带示例)
feizuiku0116的博客
11-12 2855
该文章介绍了Logstashkv插件的配置参数及其功能,主要包括: allow_duplicate_values - 控制是否允许重复键值对 allow_empty_values - 控制是否允许空值 default_keys - 设置默认键值对 recursive - 控制是否递归解析嵌套字段 field_split/field_split_pattern - 自定义键值对分隔符 include_brackets - 控制是否忽略括号内容 exclude_keys/include_keys - 排除或包
logstash 嵌套解析kv数据
ToLightElegantly的博客
05-06 1708
input{ ... } filter{ kv{ source=>"message" field_split => " " value_split => ":" } } filter{ kv{ source=>"header" //header字段是message里面包含的字段,此字段内容可以继续切分 field_s...
logstash将json日志事件自动解析成KV字段
Jepson的博客
10-22 1246
logstash自动解析json日志
Logstash系列:kv拦截器的使用
NIO4444
05-18 1134
原始数据 ip=1.2.3.4 error=REFUSED kv filter { kv { } } 结果 ip: 1.2.3.4 error: REFUSED
批量部署日志配置难题终结者:动态更新与集中管理的3种落地模式
[批量部署日志配置难题终结者:动态更新与集中管理的3种落地模式](https://pragmaedge.com/wp-content/uploads/2022/11/Advantages-of-Log-monitoring-1024x464.png) # 1. 日志配置批量部署的核心挑战与演进路径 在...
《大数据Hadoop、Hive、Kafka、Hbase、Spark高频考点精编:覆盖90%面试场景的200多道压轴题》
m0_46689661的博客
12-05 1万+
大数据Hadoop、Hive、Kafka、Hbase、Spark等框架面经
Golang笔记
怨行客
10-18 843
协程是用户态轻量级线程协程是线程调度的基本单位通常在函数前加上go关键字就能实现并发。一个Goroutine会以一个很小的栈启动2KB或4KB,当遇到栈空间不足时,栈会自动伸缩, 因此可以轻易实现成千上万个goroutine同时启动。
logstash插件参数类型
johnhuster的专栏
12-08 506
logstash插件参数类型
logstash时间戳转换
热门推荐
小龙在线
12-11 2万+
logstash的date过滤插件,支持从字段里分析日期格式,然后放入@timestamp字段里。
Logstash使用KV解析如何处理空白字段
weixin_42478365的博客
04-01 1107
当使用KV解析时,如果数据中有的字段值为空值时,即 srcIp= DstIP= 在elastic上会出现如下的解析 scrIP: DstIP= 解决方案 在使用KV解析数据之前先使用mutate gsub进行替换,替换格式如下: mutate { gsub => [ 'message', '= ', '="" ' ] } 或者 mutate { gsub => [ 'message', '= ', '=" " ' ] } 即=(空格)替换为=""(空格) 或者 把=(空格)替换为="(
logstash对于String类型的时间转成long
格物致知
09-20 5495
在工作中,遇到传过来的是时间字符串yyyy-MM-dd HH:mm:ss,用到logstash时需要先把这种时间转换成long,然后进行存储操作。 上config代码:input{ stdin{ # codec=>rubydebug } } filter{ # codec=>rubydebug mutate{ split=>["message"," "]
分布式日志收集之Logstash 笔记(一)
阿★永
10-20 1281
(一)logstash是什么? logstash是一种分布式日志收集框架,开发语言是JRuby,当然是为了与Java平台对接,不过与Ruby语法兼容良好,非常简洁强大,经常与ElasticSearch,Kibana配置,组成著名的ELK技术栈,非常适合用来做日志数据的分析。 当然它可以单独出现,作为日志收集软件,你可以收集日志到多种存储系统或临时中转系统,如MySQL,redis,kakfa,...
logstash简介
qq_29322593的博客
01-31 509
简介 Elasticsearch是当前主流的分布式大数据存储和搜索引擎,可以为用户提供强大的全文本检索能力,广泛应用于日志检索,全站搜索等领域。Logstash作为Elasicsearch常用的实时数据采集引擎,可以采集来自不同数据源的数据,并对数据进行处理后输出到多种输出源,是Elastic Stack 的重要组成部分。本文从Logstash的工作原理,使用示例,部署方式及性能调优等方面入手,为大家提供一个快速入门Logstash的方式。 Logstash工作原理 Logstash事件处理管道有三个阶段:
LogstashLogstash 工作原理详解:管道式事件处理的核心机制(附示例与踩坑指南)
最新发布
feizuiku0116的博客
11-18 1379
LogStash事件处理管道具有三个阶段:input->filter->output。input生成事件,filter修改它们,output将它们发送到其他地方。input和output支持编解码器,能够在数据进入或退出管道时对其进行编码或解码,而无需使用单独的过滤器 1.input input插件的官方文档 使用输入将数据输入LogStash,一些常用的输入包括: file:从文件系统上的文件中读取 syslog:在514端口上监听syslog消息并根据RFC3164格式进行解析 beats
Logstash过滤器之常用插件使用
格子的博客
11-25 4593
Logstash有自己的filter过滤插件,专门用来对日志进行切割,过滤,最终保留日志中自己需要的部分,删除日志中多余的部分,将过滤出来的日志写入到elasticsearch中。Logstash官方文档中介绍的logstash的过滤插件大概有四十多种,logstash常用的过滤插件有grok、mutate、kv、date、geoip插件等。 一、grok 插件 grok是logstash最主要的过滤插件,grok是通过系统预定义的正则表达式或者通过自己定义正则表达式来匹配日志中的各个值。 1、matc.
Ruby 正则表达式
chishipingping的博客
02-01 189
Ruby 正则表达式
logstash将UTF8转换成
11-27
如果你在处理UTF-8编码的日志时遇到需要转换的情况,可能是要把非ASCII字符集的数据转换成统一的UTF-8格式,以便于后续的分析或存储。 在Logstash中,你可以通过配置插件如`filter`部分的`codec`字段来指定输入数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值