logstash 学习三 过滤器插件(Filter)

最新推荐文章于 2023-08-11 15:00:00 发布
最新推荐文章于 2023-08-11 15:00:00 发布
阅读量2.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: ELK logstash 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013092590/article/details/52387103
本文探讨了logstash的过滤器插件,重点在于如何过滤INFO和WARN级别的日志,以及Grok正则表达式的使用。通过Grok预定义的正则模式匹配日志,实现对日志数据的有效捕获。同时提到了Grok的patterns_dir配置和match操作。此外,还简单提及了GeoIP插件用于地址归属查询,以及Mutate插件的数据类型转换功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

丰富的过滤器插件是logstash 如此强大的一个很重要的因素。这篇主要来说说我常用的一些插件。

  • 过滤屏蔽不需要的日志 :
    先来看一下日志吧。下面是tomcat 报的一些日志:
2016-06-17 13:54:24,148  INFO (com.yudao.framework.db.connection.LocalDataSourceFactory:35) - loadJDBCConfig...
2016-06-17 13:54:24,148  WARN (com.yudao.framework.util.SystemConfigUtil:61) - INITIALIZING THE CONFIGMANAGER
2016-06-17 14:17:25,499 ERROR (org.apache.struts2.dispatcher.Dispatcher:38) - Exception occurred during processing request: null
java.lang.reflect.InvocationTargetException
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
...

上面日志文件可以看到有三类: INFO 、WARN 、ERROR 。通常我们只需要解析 ERROR 类型的,也就是说需要过滤掉 INFO 、WARN 类型。

filter{
   #如果日志不包含 "ERROR" ,就过滤掉
   if [message] !~ "ERROR"{
       drop {}
    }
}

当然,上面的配置并不能过滤掉全部不需要的日志,比如说下面这种

2016-07-11 14:35:30,985  INFO (com.yudao.test.testAction:1008) - verifyEirUser webservice  result:<?xml version="1.0" encoding="utf-8"?>
<USER_VALIDATE_RESULT>
  <TEXT_MSG />
  <ERROR_MSG>验证不通过</ERROR_MSG>
  <RESULT>-1</RESULT>
  ...

因为 ERROR_MSG 的存在,就不能过滤。这种情况还得加一层过滤。这个跟日志正则配置有关。这里先不说了。

  • Grok 正则捕获
    grok 是logstash 最重要的插件。我们可以在 grok 预定义好命名正则表达式,然后(grok 参数或其它正则表达式)引用它。
filter{
    grok{
       patterns_dir => ["d:/java/logstash-2.3.4/bin/patterns"]
       match =>{"message"=> "TEST-LOG"}
     }
}

解释:
patterns_dir : 对应的是个绝对路径, d:/java/logstash-2.3.4/bin/patterns 目录下有一个文件,我命名为 j2ee , 里面是一些配置文件,举个栗子 :

JAVALOGMESSAGE (.*)
#配置日期格式 
#2014-01-09 20:03:28,269
COMMA_TIME %{NUMBER:year}-%{MONTHNUM:month}-%{MONTHDAY:day} %{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second},%{NUMBER:millisecond}

# 日志解析
#2016-06-17 14:17:25,499 ERROR (org.apache.struts2.dispatcher.Dispatcher:38) - Exception occurred during processing request: null
TEST-LOG %{COMMA_TIME}( |  )%{LOGLEVEL:level} %{LINE:class} - %{JAVALOGMESSAGE:logmessage}

match : 作用是日志文件是否能匹配上TEST-LOG 正则格式。
篇幅问题,下一章说配置。

  • GeoIP 地址归属类查询: 下面的IP 是参数,不是固定值。
filter {
    geoip {
       source => "IP"
    }
}
  • Mutate 数据修改 :
    1、类型转换 : 可以设置的转换类型包括 “integer”,”float” 和 “string” 。
    filter{
        mutate{
            convert{"COMMA_TIME" , "float"}
        }
    }
   2、字符串处理 

      2.1 gsub : 仅对字符串字段有效

         filter{
             mutate{
                # protocol 字段中的 "-" 换为""
                gsub => [ "protocol", "-", "" ]
             }
         }
      2.2  split 拆分字段 。

            filter {
                mutate {
                   split => ["message", "|"]
                }
             }
         如果message 的内容为: "test|1|as|zx*=123",运行结果为:

        "message" => [
           [0] "test",
           [1] "1",
           [2] "as",
           [3] "zx*=123"
        ],
       2.3 、join  仅对数组类型字段有效

          filter{
              mutate {
                   split => ["message", "|"]
              }
              mutate {
                   json=> ["message", ","]
              }
          }
       filter 区间是按 顺序执行的,所以,运行后的结果:

         {"message" : "test,1,as,zx*=123"}
       2.4  rename 种命名某个字段,如果字段已经,会背覆盖掉。       

           filter{
               mutate{
                   rename =>["prjName","prjN"]
               }
           }
       2.5   update  更新某个字段的内容,如果字段不存在,不会创建。
       2.6   replace 作用与update 类似,只是如果如果字段不存在,会自动创建新的字段。
Logstash数据处理服务的过滤插件Filter配置详解
江晓龙的博客
07-13 2184
FilterLogstash配置文件中的一部分,也是较为重要的一部分,主要是针对收集来的日志数据做进一步的格式化处理。过滤常用插件:json、kv、grok、geoip、date过滤插件通用配置字段:JSON插件主要用于接收json格式的日志数据,将json数据进行解析,展开成logstash的数据结构,放到日志数据的最顶层通过json插件可以将json格式的日志数据中每一个键和值单独分离出来,方便在kibana上进行数据检索。常用字段配置::指定要解析的字段,一般是日志数据内容messages字段,在这
Logstash03】企业级日志分析系统ELK之Logstash 过滤 Filter 插件
最新发布
运维&陈同学的博客
01-08 1183
Grok 是一个过滤器插件,可帮助您描述日志格式的结构。有超过200种 grok模式抽象概念,如IPv6地 址,UNIX路径和月份名称。为了将日志行与格式匹配, 生产环境常需要将非结构化的数据解析成 json 结构化数据格式使用 Grok 插件可以基于正则表达式技术利用其内置的正则表达式的别名来表示和匹配上面的日志,如下 效果最终转换为以下格式参考网站范例: Nginx 访问日志。
Logstash:使用 XML filter 来导入文件
Elastic 中国社区官方博客
08-31 2588
JSON 是目前非常流行的一种存储文件的格式,但是在实际的应用中,也有很多的文件格式是 XML 格式的。那么我们该如何来处理 XML 格式的文件并把它们导入到 Elasticsearch 中呢?在今天的文章中,我们将以一个例子来说明。我们将使用 XML filter 来导入 XML 格式的数据。 如何在 ElasticSearch 中导入我的自定义 XML 文件,幸运的是 Logstash 可以为你提供帮助。 让我们创建一个示例 XML 文件,该文件要导入到 Elasticsearch 中。 复制下面的.
logstash-filter-java:通过实现Java接口编写logstash过滤器
05-20
Logstash过滤器Java 通过实现Java接口编写logstash过滤器
小姐姐教你定制一个Logstash Java Filter~
Monica2333的博客
04-19 812
Logstash是用来收集数据,解析处理数据,最终输出数据到存储组件的处理引擎。数据处理流程为: Logstash Java Filter 就是基于LogstashFilter扩展API开发一个用Java语言实现的Filter,然后将Filter代码打包构建到自己服务器上的Logstash Filter lib中。就可以在数据流转配置文件中(也就是logstash -f 指定的配置文件)使用这...
logstash java插件_[译]你应该了解的5个 Logstash Filter 插件
weixin_39923572的博客
02-17 251
welcome to star my articles-translator, providing you advanced articles translation. Any suggestion, please issue or contact meLICENSE: MIT在 ELK 中, Logstash 处理资源繁重的日志聚合和处理的任务。 Logstash 执行的处理工作确保我们的日志消...
logstash-filter-translate:Logstash 的翻译过滤器
05-29
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc格式编写文档,...
logstash-filter-example:示例过滤器插件。 这应该有助于引导您编写自己的过滤器插件
05-30
Logstash插件 这是的插件。 它是完全免费和完全开源的。 许可证是 Apache 2.0,这意味着您可以随意以任何方式使用它。 文档 Logstash 提供了基础结构来自动为此插件构建文档。 我们提供了一个模板文件 index....
Logstash——Logstash过滤器filter)对数据流量进行控制
大风的博客
05-20 6047
Logstash 支持同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器对数据流量进行控制 Logstash提供了一些插件用来控制数据传输的流量。这个流量控制主要是: 削减数据量,剪除掉需要的数据内容 控制数据来源的速度,减少想目标推送数据的频率 涉及这些操作的过滤器主要是下面: drop过滤器:删除掉经.
logstash-filter-jdbc_static通过mysql中的表进行数据“丰富化”
Mr.Bug的博客
08-05 959
应用场景: 通过logstash-filter-jdbc_static插件,静态“丰富化” logstash处理的数据。 filter{ jdbc_static { loaders => [{ id => "cmd_dict" query => "select cmd_id,cmd_name from t_cmd_dict WHERE 1=1" local_table => "cmd_dict" }] local_db_objects =&
Logstash系列:过滤器filter之Date写法
NIO4444
01-11 812
filter { date { match => [ "logdate", "MMM dd yyyy HH:mm:ss" ] } }
Logstash——使用Logstash过滤器filter)从事件中提取数据
热门推荐
大风的博客
05-17 1万+
Logstash 支持同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器根据规则提取数据 Logstash涉及提取数据主要是下面几个 date过滤器:获得时间格式的数据 extractnumbers过滤器:从字符串中提取数字 grok过滤器:使用grok格式提取数据中的指定内容 这里我简单的介绍下几个过滤器.
Logstash系列之--JAVA自定义插件
m0_37911384的博客
03-31 3742
Logstash系列之--自定义插件(JAVA) 说明 官方文档:https://www.elastic.co/guide/en/logstash/7.2/java-filter-plugin.html 安装版本:7.2.0 1、拉取logstash对应版本代码 git clone --branch v7.2.0 --single-branch https://github.co...
Logstash:Jdbc static filter plugin 介绍
Elastic 中国社区官方博客
09-26 976
Logstash过滤器中。有许多的过滤器是可以用来和外部的数据对 pipeline 里的数据进行丰富的。Jdbc_static 过滤器就是其中的一个。此过滤器使用从远程数据库预加载的数据丰富事件。我们之所以选择这个,是因为你必频繁查询你的数据库,也会给你的数据库带来很大的压力。 此过滤器最适合使用静态或经常更改的参考数据(例如环境、用户和产品)来丰富事件。 此过滤器的工作方式是从远程数据库获取数据,将其缓存在本地内存中的 Apache Derby 数据库中,并使用查找来使用本地数据库中缓存
Logstash——Logstash过滤器filter)解析同格式的数据
大风的博客
05-12 5756
Logstash 支持同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完成一个简单的日志收集功能 Logstash过滤器同格式数据的处理 Logstash涉及对同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译成JSON格式 kv 解析键值对的数据 .
logstash 使用详解
程序员学习圈
02-28 1366
1.安装logstash [luomk@iz2zeb7o9hu1q5dxvshng4z module]$ tar -zxvf logstash-6.3.1.tar.gz [luomk@iz2zeb7o9hu1q5dxvshng4z module]$cd config [luomk@iz2zeb7o9hu1q5dxvshng4z module]$vi log4j_t...
logstash过滤器插件filter详解及实例
qq_40907977的博客
06-08 1895
原创作者:峰哥ge 原创地址: https://www.cnblogs.com/FengGeBlog/p/10305318.html logstash过滤器插件filter grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
【教你通透ELK】Logstash 输入、过滤器和输出插件
走向CTO的路上...
08-11 285
Logstash提供了多种内置的过滤器插件,例如grok、mutate、date等,可以对数据进行解析、字段提取、数据类型转换、日期格式化等操作。Logstash是一个用于数据处理、转换和传输的开源工具,它的架构包括个主要组件:输入插件过滤器和输出插件。输入插件负责从数据源收集数据,过滤器可以对数据进行加工、转换和清洗,输出插件将处理后的数据发送到目标系统。日志处理和分析:Logstash可以收集、解析和过滤各种应用和系统产生的日志数据,可用于日志监控、报表分析、故障排查等。
Logstash翻译过滤器插件的使用与开发指南
资源摘要信息:"Logstash-filter-translate: Logstash 的翻译过滤器" 1. Logstash插件介绍 Logstash是一个开源的数据收集引擎,拥有实时管道功能。它允许你将数据从多种来源搜集起来,并进行结构化、标记化,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值