ELKF日志学习(十)Logstash解析日志成json

最新推荐文章于 2025-04-27 14:46:26 发布
原创 最新推荐文章于 2025-04-27 14:46:26 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk

本文介绍了Logstash的日志解析核心——Grok,它是基于正则表达式的工具,用于结构化非结构化日志。通过GrokDebugger网站辅助调试,我们可以利用预定义或自定义的Grok模式匹配日志字段,如IPV4。在实际应用中,由于日志格式的多样性,需要编写多个匹配表达式,并根据日志来源(如nginx的access和error log)进行过滤处理,提高过滤效率。Logstash的filter模块通过条件判断(如filebeat的file.source)来确定执行哪些解析规则。本文旨在引导读者深入理解Logstash的日志处理能力。

前言

之前大致说了一下 Logstash 的能力。

关于输入输出并不多做介绍了,这里主要讲解一下日志解析部分。

代码仓库

talk-lucky/elkf-study

Grok

原理很简单,就是 正则

这里有个非常实用的网站 Grok Debugger,可以帮助我们验证调试解日志的正则。(可能需要自备梯子)

官方有一部分预定义 grok 的表达式,可以参考,我们也可以编写一些预定义的表达式供后续使用。

Kibana 也提供了相应的工具,只不过没那么好用罢了。

示例

比如,有这么一段日志(nginx/access.log):

192.168.200.1 - - [27/Aug/2018:06:36:58 +0800] "GET / HTTP/1.1" 200 16 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36" "-"

我们需要解析它,那我们需要先编写测试好 Grok 语句。

192.168.200.1 可以使用 IPV4 来匹配,比如:%{IPV4:remote_addr}

这里不仅匹配了,并将其值赋予了 remote_addr,有点像 PHP 中的正则子模式。

问:IPV4 从哪里来的,不知道怎么办?还有其它方式么?

答:

  1. IPV4 来自 Logstash 自己的预定义,具体可以参考 grok
  2. 还可以直接写正则来匹配,比如:(?<remote_addr>((?<![0-9])(?:(?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2})[.](?:25[0-5]|2[0-4][0-9]|[0-1]?[0-9]{1,2}))(?![0-9])))

问:还有一个疑问,为何定义为 remote_addr

答:这个是自定义,一般情况下会保持和 nginx 日志定义一致,这个看项目的定义。

在了解了一些基本概念之后,那么我们的表达式应该这么写:

filter {
    grok {
        match => {
            "message" => '%{IPV4:remote_addr} - %{USERNAME:remote_user} \[%{HTTPDATE:timestamp}\] \"%{WORD:request_method} %{URIPATHPARAM:request_uri} HTTP/%{BASE10NUM:http_version}\"\s{1,}%{INT:status}\s{1,}%{INT:request_length}\s{1,}%{QS:http_referer}\s{1,}%{QS:http_user_agent}\s{1,}%{QS:http_x_forwarded_for}'
        }
    }
}

匹配多种情况

在现实项目中,日志格式并不会像 nginx/access.log 那么工整,那么我们就要处理多种情况,比如 nginx/error.log

具体实例就不写了(可以参考 git 项目中的 logstash/pipeline/logstash.conf),这里介绍一下格式:

filter {
    grok {
        match => [
            "message", '表达式1',
            "message", '表达式2',
            "message", '表达式3'
        ]
    }
}

判断输入来源

为了使 filter 更加高效,我们需要在一开始就知道需要执行哪些表达式,而不是一个个试过去,通过输入来源,可以帮助我们解决一些问题。

在介绍 FileBeat 部分的时候,当时为每个日志文件都定义了 file.source

这里可以通过判断 fileds.source 来大致确认是哪一类日志。

例如:

filter {
    if [fields][source] == "nginx_access_log" {
        grok {
            match => [
                "message", '表达式1',
                "message", '表达式2',
                "message", '表达式3'
            ]
        }
    }
    if [fields][source] == "nginx_error_log" {
        grok {
            match => [
                "message", '表达式4',
                "message", '表达式5',
                "message", '表达式6'
            ]
        }
    }
}

最后

Logstash 的能力还有很多,这些就要靠小伙伴们自行探索发现了。

后续如果使用到了比较有意思的部分,会在后续文章中更新。

logstash+grok+json+elasticsearch解析复杂日志数据()
cuixuange的博客
11-25 2万+
这几天学习logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤器插件,输出插件等等,甚至还有许多美未能进入官
【面试宝典】10道日志分析ELK高频题库整理(附答案背诵版)
tyler的博客
05-30 7856
ELK 是一个开源的日志分析平台,由三个开源软件组:Elasticsearch、Logstash 和 Kibana。它可以帮助开发人员和运维人员对日志进行收集、处理、存储、搜索、分析和可视化。Elasticsearch 是一个分布式搜索和分析引擎,可以快速地存储、检索和分析大量数据。它使用 JSON 文档来存储数据,并提供了基于 RESTful API 的查询接口。Logstash 是一个强大的日志收集和处理器,可以接收、解析转换和传输日志数据。
【Spring Boot】Spring Boot之利用Logstash日志转换JSON的格式存储和输出
weixin_30342827的博客
09-15 2183
一、Logstash的作用   Logstash是一个完全开源的工具,它可以对日志进行收集、过滤,能非常方便地将日志转换JSON的格式存储和输出,并将其存储供以后使用。 二、整合Logstash的步骤 注意:需要在logback日志框架的基础上:https://www.cnblogs.com/756623607-zhang/p/9695131.html 1)增加pom依赖 ...
logstash-将nginx日志转为json格式存入kafka
qq522044637的博客
03-04 970
不修改nginx日志格式的情况下,使用logstash filter-grok,匹配nginx日志格式后转为json格式存入kafka。
ELKlogstash使用------logstash将txt文本的json数据导入到elasticsearch中
种一颗十年前的树
05-25 1179
1.数据格式为txt文本的json格式数据,首先需要将数据转换格式为csv格式 public static void main(String[] args) throws JSONException, IOException { FileUtils.writeStringToFile(new File("你要导出的文件路径"), Json2Csv("你的json数据")); } public static String Json2Csv(String json) throws JSONEx
logstash配置:ES导出为json格式文件
flyingcatty的专栏
03-05 2115
创建配置文件: # Sample Logstash configuration for creating a simple # Elasticsearch -&gt; Logstash -&gt; Json input{ elasticsearch { hosts =&gt; ["ip:port"] index =&gt; "index_name" ...
0029【ELKF-Linux版】总有一款你喜欢的分布式日志系统,就是它了
chenzhong2010的博客
02-20 2985
零 前期工作 0.1 环境 端口 elasticsearch:9200、9300 kibana:5601 logstash:5044 filebeat: 依赖jdk elasticsearch: jdk11或以上 logstash: jdk11或以上 功能 ELKF 是 Elasticsearch 、 Logstash 、 Kibana 、 Filebeat 的简称。 elasticsearch: 存储、搜索和分析引擎,特点是高可伸缩、高可靠和易管理等。 kibana: 数据分析和可视化平台,通常依赖
Filebeat采集日志讲解(一)
桃花惜春风
03-25 6352
ELKF中,Filebeat作为日志采集端,采集日志并发送到kafka。input就是以文件形式存储的log文件,output就是kafka集群。 在采集日志中一般情况有以下几点需要注意的: 输出内容确定,一般包括时间戳,主机名,日志类型,日志内容,其他的根据业务的实际需求,无用信息可以直接过滤掉; 输出格式,一般使用json,需要自己拼json格式; 多路径采集日志配置,同时采集多个服务的...
Docker 安全及日志管理
2301_77081516的博客
06-02 1161
虚拟机通过添加 Hypervisor 层,虚拟出网卡、内存、CPU 等虚拟硬件,再在其上建立虚拟机,每个虚拟机都有自己的系统内核。而 Docker 容器则是通过隔离的方式,将文件系统、 进程、设备、网络等资源进行隔离,再对权限、CPU 资源等进行控制,最终让容器之间互不影响,容器无法影响宿主机。容器与宿主机共享内核、文件系统、硬件等资源。
ELK Stack:日志管理与分析的全能战士,Java的日志管理
最新发布
横竖撇折点
04-27 982
ELK Stack 是一个功能强大且灵活的日志管理和分析平台,适用于从小型到大型的各种系统规模。它不仅提供了高效的日志处理能力,还具备直观的可视化展示工具,帮助开发者和运维人员更好地理解和利用日志数据。通过上述介绍和示例代码,相信你已经对如何搭建和使用 ELK Stack 有了初步的认识。希望这些内容能够为你提供有价值的参考,助力你在日志管理领域迈出坚实的步伐。如果有任何疑问或需要进一步的帮助,请随时查阅官方文档或联系社区。
logstash使用之json输入输出
热门推荐
落叶下的光
11-24 2万+
概述如果发送给logstash的数据内容为json格式,那么可以通过解析json内容,根据具体内容生字段.方便分析和储存,比如:有一个json内容为: {"name":"nihao"},我们需要获取这个记录然后通过logstash分析后,放到mysql数据库中.一个简单的logstash输出内容为:{ "@version" => "1", "host" => "lo
elasticsearch将数据导出json文件【使用logstash
han0373的博客
06-06 5892
1、安装logstash$&gt;wget https://artifacts.elastic.co/downloads/logstash/logstash-6.2.4.tar.gz 2、解压logstash:$&gt;tar -xzvf logstash-6.2.4.tar.gz3、安装output插件:进入到bin目录:执行:./logstash-plugin install logstash...
Logstash处理json根式日志文档的三种方式
为一个人走几座城
05-19 2088
假设日志文件中的每一行记录格式为json的,如:{"Method":"JSAPI.JSTicket","Message":"JSTicket:kgt8ON7yVITDhtdwci0qeZg4L-Dj1O5WF42Nog47n_0aGF4WPJDIF2UA9MeS8GzLe6MPjyp2WlzvsL0nlvkohw","CreateTime":"2015/10/13 9:39:59",&am
logstash filter 字符串转换json
a123147abc的博客
01-20 2964
logstash filter 字符串转换jsonlogstash filter 字符串转换json logstash filter 字符串转换json filter { # 去除\n 和空值[字符串可能存在空值、\n等特殊字符] mutate { strip => ["message"] } # 转为json 并赋值给 target json { source => "message" target => "message2"
logstash+grok+json+elasticsearch解析复杂日志数据()
cuixuange的博客
10-19 9339
接着上面一篇来说,这篇主要介绍logstash处理实时数据问题,日志数据更新时,logstash处理方式是默认每15s检查一次文件夹,每5秒检查一次文件,这些参数可以改变的。遇到当处理较多批次数据时,logstash出现卡死状态的原因,我目前猜测是输入文件较多logstash处理很快,而输出插件input elasticsearch这个插件线程限制,导致的死锁问题,后面详细说。最后展示一下ki
logstash解析嵌套json格式数据
u011311291的博客
02-01 1万+
现有json: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 将其解析为: { "name":"zhangs
ELK logstash 过滤插件:JSON
小楼一夜听春雨,深巷明朝卖杏花
12-16 1016
Nginx 日志默认为普通文本的格式,例如,下面是 Nginx 的一行访问日志: 10.88.122.105 - - [02/Dec/2017:09:15:04 +0800] "GET /js/pagination.js HTTP/1.1" 304 0 "http://10.88.105.20:8063/stockrecommand.html" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .
logstash解析JSON格式的字符串输入
qq_34295546的博客
08-21 1620
业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表: 示例输入: { "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1",
记一次logstash解析丢失全量字段message的情况
Mr.Bug的博客
08-06 2029
应用场景: kafka中存json数据,经logstash“丰富化”后,发送给es存储的过程,如果在input阶段就把数据转换json,会造后边处理数据的时候,无法获取全量字段(原始数据),。 input{ #异常登录json字符串数据 kafka { group_id => "test-consumer-group" #如果数据在 input阶段 进行 json格式转换,后面在进行数据处理的时候将会失去 全量字段(原始信息) #codec => "js
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值