logstash 6.3.2 filter 过滤器各种方法

最新推荐文章于 2025-11-12 10:37:44 发布
原创 最新推荐文章于 2025-11-12 10:37:44 发布 · 4.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Logstash配置文件解析Nginx日志,并通过grok插件匹配日志格式,同时实现字段的添加、删除及转换等操作。 
input {

    file {
        path => "/data/logs/nginx_logs/access.log"
        type => "dev-chuiyi-site-landing-1"
#        codec => json
        start_position => "end"
    }
}


filter {

    grok {
        patterns_dir => "/usr/local/logstash-6.3.2/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns"     # 定义logtash中自定义模式目录所在的位置
        match => {
            "message" => "%{NGINX_LOGS}"
        }
        #match => [
        #    "message","%{NGINX_LOGS}",
        #    "message","%{USERHOST:userhost} %{USERNAME:username}"
        #]

        add_field => {                      # 新增name_%{remote_addr}_[0|1]字段
            "name_%{type}_0" => "hello world 0"
            "name_%{type}_1" => "hello world 1"
            "name_%{type}_2" => "hello world 2"
            "coerce_value" => "null"
        }

        remove_field => ["message"]         # 删除message字段
        remove_field => ["name_%{type}_0"]
    }

    if [request] == "HEAD / HTTP/1.0" {     # 判断request字段是否匹配,如果匹配则drop进行丢弃该条信息,不传输至es
        drop {}
    }

    geoip {
        source => "remote_addr"
        database => "/usr/local/src/GeoLite2-City_20180807/GeoLite2-City.mmdb"
        fields => ["country_name","region_code", "city_name", "ip"]
    }

    mutate {
        copy => {                           # 将原有的字段进行拷贝一份并命名
            "remote_addr" => "client_addr"
        }
        convert => {                        # 将原有的字段的值进行类型转换,可转换的类型为: integer/float/string/boolean
            "status" => "integer"
            "request_time" => "float"
        }
        split => {                          # 将原有字段的string进行split以指定的符号(分隔符)进行分隔,分隔后变为一组数组
            "remote_addr" => "."
        }
        join => {                           # 将原有字段的array进行join以指定的的符号(分隔符)进行合并,合并后变为一串字符串
            "remote_addr" => "-"
        }
        update => {                         # 用于替换原有字段的值,如果原有字段不存在,则不执行任何操作,原有字段不支持使用%{}变量,但值可以调用%{}变量
            "upstream_response_time" => "%{remote_addr}"
        }
        replace => {                        # 用于替换原有字段的值,如果原有字段不存在,则新增一个字段,新增的字段不支持使用%{}变量,但值可以调用%{}变量
            "new_replace" => "%{remote_addr}"
        }
        gsub => [                           # 用于替换原有字段的值,第一个元素为字段名,第二个为正则或匹配的字符串,第三个为要替换的值(只支持字符串替换操作)
            "time_local", "\d{2}/[A-Za-z]{3}/[\d:]+", "this is time",
            "request", "HTTP", "http"
        ]
        rename => {                         # 将字段http_referer重命名为http_source
            "http_referer" => "http_source"
        }
    }

}

output {
    redis {
        host => "10.168.216.1"
        port => "6379"
        key => "redis_auth"
        data_type => "list"
        password => "2RMYFdlZNSSsqKYi"
    }
}

关于grok nginx正则
cat /usr/local/logstash-6.3.2/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns

REMOTE_ADDR              ^([\d\.]+)
TIME_LOCAL               [^\s]+\s\+\d{4}
REQUEST                  [A-Z]+\s.*\sHTTP/\d\.\d
STATUS                   \d{3}
BODY_BYTES_SENT          \d+
HTTP_REFERER             [^\|]*
HTTP_USER_AGENT          [^\|]*
HTTP_X_FORWARDED_FOR     [\d.]+|-
UPSTREAM_ADDR            [^\|]*
UPSTREAM_STATUS          [\d]{3}|-
REQUEST_TIME             [0-9]*\.[0-9]+
UPSTREAM_RESPONSE_TIME   ([0-9]*\.[0-9]+|-)$

NGINX_LOGS %{REMOTE_ADDR:remote_addr}\|%{TIME_LOCAL:time_local}\|%{REQUEST:request}\|%{STATUS:status}\|%{BODY_BYTES_SENT:body_bytes_sent}\|%{HTTP_REFERER:http_referer}\|%{HTTP_USER_AGENT:http_user_agent}\|%{HTTP_X_FORWARDED_FOR:http_x_forwarded_for}\|%{UPSTREAM_ADDR:upstream_addr}\|%{UPSTREAM_STATUS:upstream_status}\|%{REQUEST_TIME:request_time}\|%{UPSTREAM_RESPONSE_TIME:upstream_response_time}

USERHOST [\d\.]+
USERNAME [a-zA-Z]+

关于nginx日志格式

log_format  main    '$remote_addr|$time_local|$request|'
                    '$status|$body_bytes_sent|$http_referer|'
                    '$http_user_agent|$http_x_forwarded_for|'
                    '$upstream_addr|$upstream_status|$request_time|$upstream_response_time';
基于Logstash由SQLServer向Elasticsearch同步数据: logstash配置文件
专注于计算机研发知识和资讯分享
03-14 889
官方文档:https://www.elastic.co/guide/en/logstash/current/pipeline.html。statement : sql 里面的字段首字母必须as 成小写,或者你直接小写也行,但是必须的小写。依赖DB中的特定字段,可能会涉及到原有表结构的修改。在删除数据时无法通过这种方式获得数据的变更。x_Loan_PreservationAdvanceList.sql 需要同步数据执行的Sql。解压完成后,进入解压后的logstash-7.2.0文件夹。
【精】Logstash+Filebeats+Elasticsearch实现数据抽取
【冯立雄】的博客
08-18 2779
文章参考:https://www.cnblogs.com/cjsblog/p/9459781.html Logstash介绍 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 集中、转换和存储你的数据 Logstash是一个开源的服务器端数据处理管道,可以同时从多个数据源获取数据,并对其进行转换,然后将其发送到你最喜欢的“存储”。(当然,我们最喜欢的是Elasticsearch) 输入..
logstash 使用详解
程序员学习圈
02-28 1397
1.安装logstash [luomk@iz2zeb7o9hu1q5dxvshng4z module]$ tar -zxvf logstash-6.3.1.tar.gz [luomk@iz2zeb7o9hu1q5dxvshng4z module]$cd config [luomk@iz2zeb7o9hu1q5dxvshng4z module]$vi log4j_t...
Logstashfilter常用的语法
习惯了想你的博客
05-11 1万+
1.根据条件删除当前消息 if "caoke" not in [docker]{ drop {} } if "caoke" != [className]{ drop {} } 删除字段 remove_field => ["message"] 添加字段mutate{ add_field => { "timestamp" => "%{[message]}"   } } 转换字段类型mutate{
LogstashLogstash filter 通用配置项使用教程详解
最新发布
feizuiku0116的博客
11-12 4275
Logstash Filter 通用配置项教程摘要 本文将系统讲解 Logstash filter 插件的通用配置项,包括add_field、add_tag、remove_field等核心参数。这些配置项适用于所有filter插件,能够实现字段管理、错误标记和条件过滤等功能。 主要内容包括: 通用配置项概览表 基础示例展示add_field和add_tag使用 核心配置详解:字段添加/删除、标签管理、错误处理等 生产级日志管道示例,综合运用各种配置项 常见问题与性能优化建议 通过本文,您将掌握如何灵活运用f
Filter过滤器配置之入门
weixin_52380943的博客
03-02 1581
过滤器Filter)是Servlet中常用的技术,可以实现用户在访问某个目标资源之前,对访问的请求和响应进行拦截, 常用的场景有登录校验、权限控制、敏感词过滤等,下面介绍下Spring Boot配置过滤器的方式 过滤器执行流程: 客户端发起请求的时候,首先是经过了Filter过滤器,处理了request请求,然后去执行了我们的servlet/jsp,当执行完毕后,我们的response响应也经过了过滤器,这里经过过滤器的时候是从放行后面开始执行的,也就是处理了response响应。 过滤器的应用.
logstash配置文件中filter方法介绍
qq_37647812的博客
07-17 1530
logstash配置文件中filter方法介绍
Logstash学习--Filter
春天的道路依然充满泥泞!
10-25 8117
date过滤器date过滤器的用途是从某些字段中解析出时间,然后用这个时间作为事件(event)的时间戳。但是要从某个字段中解析时间,要告诉date时间的格式,这样它才能根据指定的格式获取时间。比如说某字段的数据格式是这样的:"Apr 17 09:32:01"你要告诉date,你去哪个字段上解析时间,并且时间的格式是:MMM dd HH:mm:ss时间戳对一个事件很重要,可以帮助你实现sorting
Logstash 6.3.2版快速下载指南
Logstash 有三个主要的处理阶段:输入(Input)、过滤器Filter)和输出(Output)。每个阶段可以通过安装不同的插件来进行扩展。 - 输入插件:负责将数据导入 Logstash,如 File、TCP、UDP、Beats(如 Filebeat、...
【终极指南】图形符号过滤器:定义、应用与优化秘籍
![图形符号过滤器]...最后,本文讨论了图形符号过滤器当前面临的挑战和发展趋势,以及一个构建图形符号过滤器的实践案例,强调了过滤器在提升数据处理效率和准确性方面的重要性。 # 关键字
MVC模式与C#***过滤器:构建高效灵活的中间件架构
- **控制器(Controller)**:处理用户输入和更新模型与视图。 ## MVC模式的工作原理 MVC模式的工作流程如下: 1. 用户通过视图发起请求。 2. 控制器接收请求并调用模型进行业务处理。 3. 模型更新其状态。 4.
logstash filter 学习
fyj的博客
04-28 456
案例 读取文本文件 内容: vi a.cong input { stdin{} } filter{ mutate{        split=>["message",","]    }    mutate{        split=>["message",":"]    }    mutate{        add_field=>{
代码干货|Logstash详解之——filter模块
热门推荐
CS13522431352的博客
08-02 2万+
Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。 1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。
logstash filter 笔记
qq_28808697的博客
04-23 659
1、 filter { # Perform hashing on NXLog differently than other logs else if [type] == "nxlog-winevent" { # 通过使用一个连续的hash来替换值来fingerprint 字段。 fingerprint { # source字段的名称,其内容将用于创建...
logstash-filter模块
小胡子
05-14 283
Fillters 在Logstash处理链中担任中间处理组件。他们经常被组合起来实现一些特定的行为来,处理匹配特定规则的事件流。常见的filters如下: grok:解析无规则的文字并转化为有结构的格式。Grok 是目前最好的方式来将无结构的数据转换为有结构可查询的数据。有120多种匹配规则,会有一种满足你的需要。 mutate:mutate filter 允许改变输入的文档,你可以从命名,删除,移动或者修改字段在处理事件的过程中。 drop:丢弃一部分events不进行处理,例如:debug event
logstash filter 过滤器详解
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
Logstash filter 的使用
m0_56342013的博客
06-18 1308
Logstash filter 的使用
logstashfilter配置
老柴菜鸟
04-20 7250
前一篇我们已经学会了logstash-input-file插件的用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
logstash过滤器插件filter详解及实例
wo4owen的博客
06-18 465
logstash过滤器插件filter详解及实例 1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址。 例如: 我们的试验数据是: 172.
如何在 Logstash 中使用正则表达式匹配日志?
06-06
### 在 Logstash 中使用正则表达式匹配日志的方法 Logstash 提供了强大的过滤功能,其中 `grok` 是最常用的过滤器之一,用于将非结构化数据解析为结构化和可查询的数据。通过 `grok`,可以编写正则表达式来提取日志中的关键信息[^2]。 #### Grok 过滤器的基本用法 Grok 过滤器允许用户定义正则表达式模式,并将其应用于日志消息以提取特定字段。以下是一个基本示例,展示如何使用 Grok 解析日志: ```plaintext filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:log_timestamp} %{LOGLEVEL:log_level} %{GREEDYDATA:log_message}" } } } ``` 上述代码中,`%{TIMESTAMP_ISO8601}` 和 `%{LOGLEVEL}` 是预定义的 Grok 模式,分别用于匹配时间戳和日志级别[^1]。`%{GREEDYDATA}` 用于捕获剩余的日志内容。 #### 自定义正则表达式 如果预定义的模式无法满足需求,可以编写自定义正则表达式。例如,假设日志格式如下: ``` 2023-10-01 12:34:56 INFO UserLogin username=john action=login status=success ``` 可以通过以下方式提取日志中的各个部分: ```plaintext filter { grok { match => { "message" => "%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{TIME} %{LOGLEVEL:log_level} %{WORD:event_name} username=%{WORD:username} action=%{WORD:action} status=%{WORD:status}" } } } ``` 此正则表达式将提取日志中的时间、日志级别、事件名称、用户名、操作类型以及状态等字段[^3]。 #### 条件判断与正则匹配 除了简单的日志解析外,还可以结合条件语句对日志进行进一步处理。例如,仅当日志级别为 `ERROR` 时才提取相关字段: ```plaintext filter { if [message] =~ /ERROR/ { grok { match => { "message" => "%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{TIME} ERROR %{GREEDYDATA:error_message}" } } } } ``` 上述代码中,`if [message] =~ /ERROR/` 表示仅当消息包含 `ERROR` 时,才会执行后续的 Grok 解析操作[^4]。 #### 常见正则表达式模式 以下是几个常见的正则表达式模式及其用途: - 匹配以特定字符串结尾:`[field_name] =~ /abc$/`。 - 匹配以特定字符串开头:`[field_name] =~ /^abc/`。 - 匹配数字或字母:`[field_name] =~ /[0-9a-z]/`。 - 匹配非数字字符:`[field_name] =~ /[^0-9]/`。 #### 示例:完整配置文件 以下是一个完整的 Logstash 配置文件示例,展示如何使用 Grok 和正则表达式解析日志: ```plaintext input { file { path => "/var/log/example.log" start_position => "beginning" } } filter { grok { match => { "message" => "%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{TIME} %{LOGLEVEL:log_level} %{GREEDYDATA:log_message}" } } if [log_level] == "ERROR" { mutate { add_field => { "error_flag" => "true" } } } } output { elasticsearch { hosts => ["http://localhost:9200"] index => "example_index" } } ``` 此配置文件从指定路径读取日志文件,使用 Grok 提取日志中的时间、日志级别和消息内容,并在日志级别为 `ERROR` 时添加一个自定义字段 `error_flag`。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值