【Graylog】比较常用的pipeline规则

已于 2023-01-09 16:42:27 修改
阅读量2.5k 收藏 3
点赞数 1
分类专栏: 运维 实施 文章标签: Graylog
于 2021-07-12 14:37:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shen12138/article/details/118674663
版权

毫秒转换为yyyy-MM-dd HH:mm:ss日志格式

rule "receiveDate_alignment"
when
  has_field("receiveDate")
then
    let m = parse_unix_milliseconds(to_long($message.receiveDate),"CST");
    let n = format_date(m,"yyyy-MM-dd HH:mm:ss","Asia/Shanghai");
    set_field("ORG_EVENT_TIME",n);
end

时间格式化及时区格式化

rule "parse_log"
when
  contains(value: to_string($message.message), search: "ERROR", ignore_case: false)
then
  set_field("raw_message", to_string($message.message));
  set_field("message", concat("警告:匹配到深证通程序日志有异常关键字,请注意查看!",to_string(format_date(to_date($message.timestamp,"CST"),"yyyy-MM-dd HH:mm:ss","Asia/Shanghai"))));
end

format_date(to_date($message.timestamp,"CST"),"yyyy-MM-dd HH:mm:ss","Asia/Shanghai")

2022-03-03T06:46:26.354Z  => 2022-03-03 14:46:26

特殊时间格式对其(filebeat指标)

rule "time_duiqi2"
when
  true
then
  let m = regex("(\\S+)\\+",to_string($message.message));
  set_field("timestamp",parse_date(replace(to_string(m["0"]),"T"," "),"yyyy-MM-dd HH:mm:ss.SSS","locale.US","Asia/Shanghai"));
end

filebeat日志时间格式为2022-09-16T13:56:39.278+0800,由于中间带T操作时解析总无法实现,把T替换掉为空格即可

判断条件的跃进

rule "test rule"
when
  //可以进行数值判断
  to_long($message.alert_level) > 3
then
  set_field("test_field", "test succ");
end

判断条件的正则匹配(常用的contains不支持正则)

rule "src_ip_v6"
when
has_field("src_ip") &&
  regex("\\d+\\.\\d+\\.\\d+\\.\\d+", to_string($message.src_ip)).matches == false
then
    set_field("reason","maybe v6");
end

根据Pri分析出Facility和Level字段值

//把22解析成pri

<22>Jul 13 17:25:01 localhost postfix/qmgr[1915]: CB3FF60AF6F5: removed 

rule "conv"
when
    true
then
    let m = expand_syslog_priority_as_string(to_string($message.pri));
    set_fields({facility: m.facility, level:m.level});
end

查询表(lookuptable)功能使用csv适配器实现多值

csv文件格式如下

"http_response_code"|"multivalue"
"200"|"中国#测试"

规则如下:

rule "parse_lookuptable_multivalue"
when
  has_field("http_response_code")
then
  let lookup_multivalue = lookup("csv_test",to_string($message.http_response_code));
  let multivalue = split("#",to_string(lookup_multivalue.value));
  set_field("localte",to_string(multivalue[0]));
  set_field("desc",to_string(multivalue[1]));
end

效果如下:

JSON格式解析

rule "parse_json"
when
  true
then
  let m = parse_json(to_string($message.message));
  set_fields(to_map(m));
end

json格式解析(大json解析指定数据)

rule "parse"
when
  true
then
  let m = regex(".*?(\\{.*)",to_string($message.message));
  let x = parse_json(to_string(m["0"]));
  let new_fields = select_jsonpath(x,
            {
            load1: "$.monitoring.metrics.system.load.1",
            load5: "$.monitoring.metrics.system.load.5",
            load15: "$.monitoring.metrics.system.load.15"
            });
  set_fields(new_fields);
  
end

可以从以下json中获取load相关指标

2022-09-15T11:06:53.451+0800	INFO	[monitoring]	log/log.go:145	Non-zero metrics in the last 30s	{"monitoring": {"metrics": {"beat":{"cpu":{"system":{"ticks":1450,"time":{"ms":3}},"total":{"ticks":3160,"time":{"ms":25},"value":3160},"user":{"ticks":1710,"time":{"ms":22}}},"handles":{"limit":{"hard":65536,"soft":65536},"open":14},"info":{"ephemeral_id":"0aed24ea-c8cd-429a-ae16-b701558bebdb","uptime":{"ms":3870086}},"memstats":{"gc_next":23807808,"memory_alloc":12150784,"memory_total":160990448},"runtime":{"goroutines":43}},"filebeat":{"events":{"added":1,"done":1},"harvester":{"files":{"041fdc0c-82ad-495a-9244-54966725bfe5":{"last_event_published_time":"2022-09-15T11:06:29.727Z","last_event_timestamp":"2022-09-15T11:06:29.727Z","read_offset":1231,"size":1231}},"open_files":1,"running":1}},"libbeat":{"config":{"module":{"running":0}},"output":{"events":{"acked":1,"batches":1,"total":1}},"outputs":{"kafka":{"bytes_read":60,"bytes_write":1124}},"pipeline":{"clients":2,"events":{"active":0,"published":1,"total":1},"queue":{"acked":1}}},"registrar":{"states":{"current":2,"update":1},"writes":{"success":1,"total":1}},"system":{"load":{"1":0.09,"15":0.29,"5":0.27,"norm":{"1":0.0113,"15":0.0363,"5":0.0338}}}}}}

嵌套json解析

json示例

{"host":{"host":"192.168.100.12","name":"B-BJ-HW-S5720-03_04"},"groups":["Templates/Network devices","DT_network","网络设备","路由器"],"applications":["Interface GigabitEthernet1/0/2()"],"itemid":67697,"name":"Interface GigabitEthernet1/0/2(): Bits 接收","clock":1672724928,"ns":434058026,"value":46440,"type":3}

解析规则

rule "Data Parsing"
when
    true
then
    let msg = parse_json(to_string($message.message));
    let prop = select_jsonpath(msg, {host: "$.host"});
    set_field("host_string", to_string(prop.host));

    let props = parse_json(to_string($message.host_string));
    set_fields(to_map(props),"host_");
    set_fields(to_map(msg));
end

思路: 由于graylog4删减了部分函数,比如好用的nesting_parse_json()用于解析嵌套函数,所以通过社区找到一个案例照着改了一下。

大概的实现过程是这样的,首先先把所有的json外层解析出来,然后针对内层的host字段进行二次解析,解析后的内层host为了防止字段名称冲突导致覆盖或字段类型不同,在set_fields时加上前缀。

【运维项目经历|050】Graylog日志集中管理与分析系统建设项目
小鹏linux的博客
12-03 159
项目背景 随着公司业务的发展和系统架构的复杂化,日志数据量急剧增加,传统的日志管理方式(如分散存储、手动检索)已无法满足高效分析、快速定位和解决问题的需求。为了提高日志管理的效率,增强系统的可观测性,公司决定引入Graylog日志集中管理与分析系统,实现日志的统一收集、存储、查询和分析。 项目目标 集中管理:将所有业务系统的日志集中到一个平台上进行管理。 高效检索:提供快速、灵活的日志检索功能,支持多种查询条件和过滤器。 智能分析:利用Graylog的分析工具,实现对日志数据的可视化分析和异常检测。 报警
ansible-graylog-modules:用于Graylog API的Ansible模块
01-31
ansible-graylog-modules Graylog2 API的Ansible模块 完整的示例剧本可以在main.yml找到。 进行中 指标 输入项 模组 以下模块可用于相应的操作: graylog_users 创造 更新 删除 清单 graylog_roles 创造 更新 删除 清单 graylog_streams 创造 create_rule 更新 update_rule 删除 delete_rule 清单 query_streams-按流名称查询(即:获取流ID) graylog_pipelines 创造 create_rule create_connection 更新 update_rule update_connection parse_rule 删除 delete_rule 清单 query_pipelines-按管道名称查询(即:获取管道ID) query_rules-按规则名称查询(即:获取规则ID) graylog_index_sets 创造 更新 删除 清单 query_index_sets-按索引集名称查询(即:获
Graylog 索引配置详解与优化建议
最新发布
weixin_44876263的博客
04-02 1162
Graylog 作为一款开源日志管理平台,借助 Elasticsearch 存储和检索日志数据,提供实时查询、告警、可视化等功能。如何合理配置索引、分片、副本及轮转策略,不仅直接影响查询性能,还关系到数据安全和存储成本。本文结合常见参数逐一解析其含义、配置方法,并附上注意事项和优化建议,还配以具体示例,助您在实际运维中游刃有余!😊合理配置 Graylog 参数能实现高效、稳定的日志管理。
Graylog Pipeline配置
这有一片海的博客
11-23 1277
`Pipeline`位于`Stream`之后,可以对`Stream`中的消息进行处理。 实际使用过程中,分流到`Stream`的规则中可能会用到`pipeline`清晰后的字段,那么该如何处理呢? `Graylog` 接收的所有消息最初都会路由到“`All messges`”流中。可以将此流用作`pipeline`处理的入口点,从而允许将传入消息路由到更多流并随后进行处理。也就是说所有消息的过滤、字段变动可以先针对`All messages`进行,然后在到达其他`stream`时数据已经被清理一次了。
Graylog】通过Pipelines在Graylog生成IP地理位置信息
u012153104的博客
12-27 1939
在当今数字化时代,随着网络攻击的不断增加和全球化的用户活动,了解IP地址的地理位置信息变得越来越重要。对于网络安全和营销策略来说,掌握IP地址的地理信息可以带来许多好处。接下里将介绍如何通过GraylogPipelines功能,在日志管理平台Graylog中生成IP地址的地理位置信息。Graylog作为一个强大的日志分析工具,不仅可以帮助我们收集和分析日志数据,而且通过Pipelines功能,还可以对日志进行处理和增强。
ELK不香了!我用Graylog
架构文摘
01-10 321
“ 当我们公司内部部署很多服务以及测试、正式环境的时候,查看日志就变成了一个非常刚需的需求了。是多个环境的日志统一收集,然后使用 Nginx 对外提供服务,还是使用专用的日志收集服务 EL...
Jenkins-Pipeline基本使用
Zzzzzz的博客
11-14 2939
Pipeline 是Jenkins 2.X核心特性,帮助Jenkins实现从CI到CD与DevOps的转变Pipeline 简而言之,就是一套运行于Jenkins上的工作流框架,将原本独立运行于单个或者多个节点的任务连接起来,实现单个任务难以完成的复杂流程编排与可视化。
graylog+sidecar通过docker-compose部署并采集SSH登录日志
菜鸟运维升级之路
01-03 879
本篇文章以采集ssh登录日志为例,结合docker、docker-compose对graylog+sidecar采集日志系统的搭建部署、日志采集流程、配置方法做一个详细的介绍,相比于ELK,graylog日志平台在国内比较冷门.能用的知识比较少,只有一个官网博客.但是我维护的项目中实际用的是graylog,对比ELK比较轻量且维护性强。话不多说,开始展示.正则玩的好的话,用graylog会轻松很多的!!
Graylog日志服务器搭建以及对接飞塔、华为设备(二)——配置篇
Small world
01-26 1032
前言上一篇介绍了Graylog的安装部署,本篇介绍如何进行配置以及接入飞塔和华为设备的syslog日志。介绍本文主要用到的地方是三个:Inputs: 接收源数据Streams: 通过规则将接收到的数据进行筛选过滤Indices: 存储流策略筛选后的日志配置对接Fortigate Friewall1.创建Index SetS...
filebeat+kafka+graylog+es+mongodb可视化日志详解
wx_17600131438
03-18 4411
graylog 是一个开源的专业的日志聚合、分析、审计、展示、预警的工具,跟 ELK 很相似,但是更简单,下面说一说 graylog 如何部署,使用,以及对 graylog 的工作流程做一个简单的梳理 本文篇幅比较长,一共使用了三台机器,这三台机器上部署了 kafka 集群(2.3),es 集群(7.11.2),MongoDB 副本集(4.2),还有 graylog 集群(4.0.2),搜集的日志是 k8s 的日志,使用 DaemonSet 的方式通过 filebeat(7.11.2)将日志搜集到 ka.
Promtail 如何配置Pipeline
11-06
4. **目标地址** (exporters): 定义将处理后的数据发送到哪里,比如 `prometheus`, `elasticsearch`, 或者 `graylog`。 配置示例: ```yaml global: scrape_interval: "5s" scrape_timeout: "10s" remote_write...
graylog-drool-rules:在Graylog服务器中使用一些Drool规则来处理GELF消息
05-04
Graylog-Drool规则Graylog服务器中使用一些Drool规则来处理GELF消息
jenkins pipeline关系
11-22
Read more about how to integrate steps into your Pipeline in the Steps section of the Pipeline Syntax page
graylog2使用说明(docker)
07-24
## 什么是graylog Graylog 是一个简单易用、功能较全面的日志管理工具,相比 ELK 组合, 优点: - 部署维护简单 - 查询语法简单易懂(对比ES的语法…) - 内置简单的告警 - 可以将搜索结果导出为 json - 提供简单的聚合统计功能 - UI 比较友好 - 当然, 拓展性上比 ELK 差很多。 整套依赖: - Graylog 提供 graylog 对外接口 - Elasticsearch 日志文件的持久化存储和检索 - MongoDB 只是存储一些 Graylog 的配置 ## 安装 > 可以是裸机安装,也可以是docker安装,这里用docker安装 环境要求: - centos7.4 - cpu2个 内存2G 参考: https://hub.docker.com/r/graylog2/graylog/ ### 环境准备 ``` mkdir /root/graylog && cd /root/graylog //挂载目录 mkdir -p mongo_data graylog_journal es_data //配置文件目录 mkdir -p ./graylog/config cd ./graylog/config wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/graylog.conf wget https://raw.githubusercontent.com/Graylog2/graylog-docker/3.0/config/log4j2.xml //提前准备镜像 docker pull mongo:3 docker pull graylog/graylog:3.0 docker pull elasticsearch:5.6.9 ``` ### docker-compose.yml ``` version: '2' services: # MongoDB: https://hub.docker.com/_/mongo/ mongo: image: mongo:3 volumes: - ./mongo_data:/data/db - /etc/localtime:/etc/localtime # Elasticsearch: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/docker.html elasticsearch: image: elasticsearch:5.6.9 volumes: - ./es_data:/usr/share/elasticsearch/data - /etc/localtime:/etc/localtime environment: - http.host=0.0.0.0 - transport.host=localhost - network.host=0.0.0.0 # Disable X-Pack security: https://www.elastic.co/guide/en/elasticsearch/reference/5.5/security-settings.html#general-security-settings - xpack.security.enabled=false - "ES_JAVA_OPTS=-Xms512m -Xmx512m" ulimits: memlock: soft: -1 hard: -1 mem_limit: 1g # Graylog: https://hub.docker.com/r/graylog/graylog/ graylog: image: graylog/graylog:3.0 volumes: - ./graylog_journal:/usr/share/graylog/data/journal - ./graylog/config:/usr/share/graylog/data/config - /etc/localtime:/etc/localtime environment: # CHANGE ME! - GRAYLOG_PASSWORD_SECRET=somepasswordpepper # Password: admin - GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918 # 这里需要修改为要暴露的机器的地址 - GRAYLOG_HTTP_EXTERNAL_URI=http://10.121.60.2:9000/ links: - mongo - elasticsearch ports: # Graylog web interface and REST API - 9000:9000 # Syslog TCP - 514:514 # Syslog UDP - 514:514/udp # GELF TCP - 12201:12201 # GELF UDP - 12201:12201/udp # GELF HTTP - 12202:12202 ``` ### 启动 `docker-compose -f docker-compose.yml up -d` 通过http://10.121.60.2:9000/访问web,admin/admin ### 修改配置 - email相关(告警需要) ``` transport_email_enabled = true transport_email_hostname = smtp.163.com transport_email_port = 994 transport_email_use_auth = true transport_email_use_tls = true transport_email_use_ssl = true transport_email_auth_username = 17191093767@163.com transport_email_auth_password = zhim123456 transport_email_subject_prefix = [graylog] transport_email_from_email = 17191093767@163.com transport_email_web_interface_url = http://10.121.60.2:9000 ``` ## 使用 ### 配置添加Inputs > Graylog 节点能够接受数据的类型称之为input,常见的有GELF TCP, GELF UDP, GELF HTTP. 说明:GELF TCP, GELF UDP可以使用同一个端口,HTTP需要另起端口,原因不解释。 - 添加三个input,过程略,tcp,udp端口使用默认的12201,http端口使用12202。 - 验证 ``` // udp echo -n '{ "version": "1.1", "host": "example.org", "short_message": "A short message info with udp", "level": 1, "_some_info": "foo", "_tag": "test11" }' | nc -w10 -u 10.121.60.2 12201 // tcp echo -n -e '{ "version": "1.1", "host": "example.org", "short_message": "A short message with tcp", "level": 1, "_some_info": "foo" }'"\0" | nc -w10 10.121.60.2 12201 //http curl -X POST -H 'Content-Type: application/json' -d '{ "version": "1.1", "host": "example.org", "short_message": "A short message with http", "level": 5, "_some_info": "foo" }' 'http://10.121.60.2:12202/gelf' ``` ### docker 日志添加到graylog ``` docker run --log-driver=gelf \ --log-opt gelf-address=udp://10.121.60.2:12201 \ --log-opt tag=test1 \ -v /etc/localtime:/etc/localtime \ -it nginx /bin/bash ``` docker-compose.yaml ``` services: mongo: logging: driver: "gelf" options: gelf-address: "udp://10.121.60.2:12201" tag: mongo volumes: - /etc/localtime:/etc/localtime ``` ### java日志直接发送到graylog > 使用logback ``` 10.121.60.2 12201 <!--An example of overwriting the short message pattern--> %ex{short}%.100m <!-- Use HTML output of the full message. Yes, any layout can be used (please don't actually do this)--> %d{MM-dd HH:mm:ss.SSS} [%thread] %-5level \(%F:%L\) - %msg %n true true true true requestId:long <!--Facility is not officially supported in GELF anymore, but you can use staticFields to do the same thing--> tag business-server ``` ## 系统使用 功能菜单说明 - search 日志查询面板 ![](assets/2018-07-10-11-52-07.png) - streams 将日志对象按照filed定义为stream,默认的stream为all messages ![](assets/2018-07-10-11-52-22.png) - alerts 告警相关,选择一个stream对象定义告警条件和通知方式,当stream里面的日志满足条件时候告警并通知 ![](assets/2018-07-10-11-52-35.png) - dashboards 图形面板 ![](assets/2018-07-10-11-52-53.png) - source 告警所在主机 ![](assets/2018-07-10-11-53-37.png) - system 系统配置 ![](assets/2018-07-10-11-53-52.png) ### 查询条件 [官方说明文档](http://docs.graylog.org/en/3.0/pages/queries.html) > 关键字不分大小写 - 单个关键字查询 `ssh` - 多关键字查询,含有ssh or login `ssh login` - 含有某个字符串查询 `ssh login` - 同时含有多个关键字查询 `opening index" AND db` - 根据字段值查询 `tag:couchdb.peer0.org1.ygsoft.com` - 含有多个tag的查询,某条记录只要其中一个字段满足即可 ``` tag: (orderer.ygsoft.com couchdb.peer0.org1.ygsoft.com) or tag: orderer.ygsoft.com couchdb.peer0.org1.ygsoft.com ``` - 含有完全匹配字段 `tag:"ssh login"` - 含有某个字段的记录: `_exists_:tag` - 不含有某个字段的记录: `NOT _exists_:tag` - AND OR `"ssh login" AND source:example.org` `("ssh login" AND (source:example.org OR source:another.example.org)) OR _exists_:always_find_me` - NOT ``` "ssh login" AND NOT source:example.org NOT example.org ``` 注意: AND, OR, and NOT 只能大写. - 通配符 ? 表示单个字符 星号表示0个和多个字符 ``` source:*.org source:exam?le.org source:exam?le.* ``` 注意:默认首字母不能使用通配符,因为这样会使用大量的内存;强行开启修改配置文件`allow_leading_wildcard_searches = true` - 当某关键字不确认顺序的时候使用~ ``` ssh logni~ source:exmaple.org~ 结果可以匹配 ssh login and example.org ``` - 以下字符在使用的时候必须用反斜杠转义 ``` && || : \ / + - ! ( ) { } [ ] ^ " ~ * ? Example: resource:\/posts\/45326 ``` ### 查询条件可以保存下来 使用 save search criteria 按钮
【Ubuntu】简洁高效企业级日志平台后起之秀Graylog
u012153104的博客
08-16 1293
Graylog 是一个用于集中式日志管理的开源平台。在现代数据驱动的环境中,我们需要处理来自各种设备、应用程序和操作系统的大量数据。Graylog提供了一种方法来聚合、组织和理解所有这些数据。它的核心功能包括流式标记、实时搜索、仪表板可视化、告警触发、内容包快速配置、索引设置、日志发射器管理和处理管道。流(Streams):流作为对传入消息进行标记的方法。它可以实时将消息路由到不同的类别,并使用规则指示Graylog将消息路由到适当的流中。
GrayLog使用记录
u011602668的博客
12-02 1981
GrayLog使用记录
如何在 Ubuntu 22.04 上安装 Graylog 开源日志管理平台
weixin_53510183的博客
12-23 1401
Graylog 的开源特性、丰富的功能、灵活性和可扩展性使其成为一个流行的日志管理平台。在本教程中,我将向你展示如何在 Ubuntu 22.04 上安装 Graylog,包括配置 Graylog 服务器软件包和访问 Graylog Web UI。
graylog实现日志监控
woshiwjma956的博客
04-13 2525
graylog日志监控与告警
graylog 2.3 + elasticsearch 5.5.1
weixin_34402090的博客
08-23 784
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值