logstash gsub替换

最新推荐文章于 2024-07-03 21:27:40 发布
转载 最新推荐文章于 2024-07-03 21:27:40 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zhaoyangjian724/p/6198934.html
文章标签:

#数据库

本文介绍了使用ELK栈进行数据库审计日志收集与分析的具体配置过程,包括Logstash的输入、过滤及输出配置,适用于MySQL数据库的日志监控场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

{
        "message" => "192.168.11.186,192.168.11.187\t48391,3306\tDec  7, 2016 13:26:25.134545378\t\tSELECT \\x0a    r.trx_id waiting_trx_id,\\x0a    r.trx_mysql_thread_id waiting_thread,\\x0a    r.trx_query waiting_query,\\x0a    b.trx_id blocking_trx_id,\\x0a    b.trx_mysql_thread_id blocking_thread,\\x0a    b.trx_query blocking_query\\x0aFROM\\x0a    information_schema.innodb_lock_waits w\\x0a        INNER JOIN\\x0a    information_schema.innodb_trx b ON b.trx_id = w.blocking_trx_id\\x0a        INNER JOIN\\x0a    information_schema.innodb_trx r ON r.trx_id = w.requesting_trx_id",
       "@version" => "1",
     "@timestamp" => "2016-12-07T05:26:26.724Z",
           "path" => "/data01/audit/20161207_192.168.11.187.txt",
           "host" => "Vsftp",
           "type" => "audit-database-192.168.11.187",
       "clientip" => "192.168.11.186",
       "serverip" => "192.168.11.187",
    "client_port" => "48391",
    "server_port" => "3306",
           "time" => "Dec  7, 2016 13:26:25.134545378",
    "running_sql" => "SELECT      r.trx_id waiting_trx_id,     r.trx_mysql_thread_id waiting_thread,     r.trx_query waiting_query,     b.trx_id blocking_trx_id,     b.trx_mysql_thread_id blocking_thread,     b.trx_query blocking_query FROM     information_schema.innodb_lock_waits w         INNER JOIN     information_schema.innodb_trx b ON b.trx_id = w.blocking_trx_id         INNER JOIN     information_schema.innodb_trx r ON r.trx_id = w.requesting_trx_id"
}


{
        "message" => "192.168.11.186,192.168.11.187\t52481,3306\tDec  7, 2016 13:28:02.753832471\t\tSELECT      NOW(),  (UNIX_TIMESTAMP(NOW()) - UNIX_TIMESTAMP(a.trx_started)) diff_sec,     b.id,     b.user,     b.host,     b.db FROM     information_schema.innodb_trx a         INNER JOIN     information_schema.PROCESSLIST b ON a.TRX_MYSQL_THREAD_ID = b.id",
       "@version" => "1",
     "@timestamp" => "2016-12-07T05:28:03.459Z",
           "path" => "/data01/audit/20161207_192.168.11.187.txt",
           "host" => "Vsftp",
           "type" => "audit-database-192.168.11.187",
       "clientip" => "192.168.11.186",
       "serverip" => "192.168.11.187",
    "client_port" => "52481",
    "server_port" => "3306",
           "time" => "Dec  7, 2016 13:28:02.753832471",
    "running_sql" => "SELECT      NOW(),  (UNIX_TIMESTAMP(NOW()) - UNIX_TIMESTAMP(a.trx_started)) diff_sec,     b.id,     b.user,     b.host,     b.db FROM     information_schema.innodb_trx a         INNER JOIN     information_schema.PROCESSLIST b ON a.TRX_MYSQL_THREAD_ID = b.id"
}


[elk@Vsftp audit]$ cat logstash-audit.conf 
input {
        file {
                type => "audit-database-192.168.11.187"
                path => ["/data01/audit/*_192.168.11.187.txt"]
        }
    
}
filter {
    grok {
        match => [
             "message" ,"(?m)%{IPORHOST:clientip},%{IPORHOST:serverip}\s+(?<client_port>\S+),(?<server_port>\S+)\s+(?<time>(\S+\s+).*?[0-9]{2}:[0-9]{2}:[0-9]{2}\.\d+)\s+(?<running_sql>(\S+\s+).*)"
                ]
       }
   mutate {
        gsub =>["message","\\x0a"," "]
        gsub =>["running_sql","\\x0a"," "]
       }
}

      
output {
     if [type] == "audit-database-192.168.11.187" { 
        redis {
                host => "192.168.11.185"
                data_type => "list"
                key => "audit-database-192.168.11.187:redis"
                port=>"6379"
                password => "1234567"
        }
}
}

转载于:https://www.cnblogs.com/zhaoyangjian724/p/6198934.html

Logstash中使用gsub实现对字段进行字符串替换
Jepson的博客
06-27 7011
使用gsub对事件内容进行替换
filebeat + kafka+logstash+elasticsearch中\n(换行)的替换【成功】
太阳花先生可爱多的专栏
07-31 3003
项目简介 公司业务需要将应用的日志(json格式)写入到es中,使用kafka做缓冲,logstash进行字段过滤 自己造的json格式: {"date":"2019-07-31 10:09:16.674","level":"INFO7","userCode":"3434343","clientIp":"192.168.200.57","clientId":"12","hostName":"192...
关于logstash中的gsub 使用规则
weixin_38073361的博客
02-06 7297
关于logstash中的gsub 使用规则 先上一个官网 demo 官网例子 filter { mutate { gsub => [ # replace all forward slashes with underscore # 用下划线替换所有的斜杠 "fieldname", "/", "_...
logstash使用总结
csdncjh的博客
06-11 4911
如下实现了取@timestamp的天,动态创建index索引以itemId字段作为索引idlush_size和两个参数共同控制 Logstash 向 Elasticsearch 发送批量数据的行为。以上面示例来说:Logstash 会努力攒到 5条数据一次性发送出去,但是如果 5秒钟内也没攒够 5条,Logstash 还是会以当前攒到的数据量发一次。flush_size的大小不能超过 Logstash 运行时的命令行参数设置的batch_size,否则将以batch_size为批量发送的大小。
Logstash的部署和使用
最新发布
Ben_10_的博客
07-03 4459
这个部分定义了 Logstash 处理完数据后应该将数据发送到哪里。在这个例子中,Logstash 将把处理后的数据发送到标准输出(stdout)。通常Logstash的可执行文件位于Logstash安装目录的bin。在这个例子中,Logstash 将使用 grok 插件来解析从文件中读取的日志数据。:这是Logstash的配置部分,用单引号括起来以确保整个字符串被当作一个参数传递给Logstash。:这个选项允许你直接在命令行中指定Logstash的配置。安装包放在 /usr/local/src。
关于logstash中的gsub 替换 \\n
05-20
Logstash中,gsub过滤器可用于查找并替换文本中的字符串。如果您想要替换一个字符串中的"\n",可以使用以下代码示例: ``` filter { mutate { gsub => [ "message", "\\\\n", "\n" ] } } ``` 这里有几点需要...
logstash实战(一)-时间替换、字段修改
chuanan6914的博客
03-05 2680
一、源数据 [ { "sn":"8e.05-17.09-10390384", "mediaCode":"pcdn_p3_globo_rj", "startTime":1548316771, "endTime":154831...
ElasticSearch7.3学习(三十二)----logstash三大插件(input、filter、output)及其综合示例
www_xuhss_com的博客
06-26 1734
logstash支持很多数据源,比如说等等图片上面只是一少部分。详情见网址:https://www.elastic.co/guide/en/logstash/current/input-plugins.html这种控制台输入前面已经介绍过了,这里就不解析了。链接:ElasticSearch7.3学习(三十一)----Logstash基础学习 1.3 读取文件(File) 比如说我存在一个文件,文件内容如下:注意:文件光标要指向下一行,不然最后一行可能读取不到我想把文件内容打印至控制台显示。可在里面添加如下内
logstash 删除字段
有道无术,术尚可求,有术无道,止于术。
10-27 1万+
问题 filebeat采集日志信息后,logstash打印信息,这个过程中,filebeat将自身的客户端信息也传送给了logstash,如果logstash不对这些字段进行过滤,导致es创建索引时,产生大量没有必要的字段。 解决方案: 在配置文件中进行过滤,删除没有必要的字段。 input { beats { port => 5044 } } fi...
分布式日志收集之Logstash 笔记(二)
三劫散仙
11-06 369
[size=medium] 今天是2015年11月06日,早上起床,北京天气竟然下起了大雪,不错,最近几年已经很少见到雪了,想起小时候冬天的样子,回忆的影子还是历历在目。 进入正题吧,上篇介绍了Logstash的基础知识和入门demo,本篇介绍几个比较常用的命令和案例 通过上篇介绍,我们大体知道了整个logstash处理日志的流程: input => filter => output...
Logstash过滤器--mutate
热门推荐
春天的道路依然充满泥泞!
10-25 1万+
mutate过滤器能够帮助你修改指定字段的内容。 该过滤器指定配置:mutate { }参数配置1. add_tag2. convert类型是哈希,没有默认设置。改变字段的类型,比如说把string编程integer。如果字段值是数据,那么所有的值都会被改变。如果字段是哈希类型。什么也不做。boolean只接受下面的类型: True: true, t, yes, y, and 1 Fal
logstash mutate split日志切分
weixin_34102807的博客
06-15 2627
通过logstash可以将日志过滤(即取到http_request值,如下)42.62.45.23--[15/Jun/2015:10:27:33+0800]"GET/www/delivery/aj.php?id=29HTTP/1.1"20010309"-""-""10.72.16.60:80"0.111 72.62.45.23--[15/Ju...
Logstash input输入 beats插件 和 syslog插件
周天祥的博客
03-18 1万+
Logstash input输入 beats插件 和 syslog插件 Logstash input多个输入插件同时使用 Logstash -7.2.0 filter使用的插件:grok、kv、urldecode、date、mutate、geoip 1、先看总体配置logstash.conf (执行时请去除所有中文注释) input { #beats输入插件 beats ...
ELK应用之Logstash
thlzjfefe的博客
02-23 1110
参考网址:官方文档、logstash示例 Logstash是一个开源数据收集引擎,具有实时管道功能。可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。Logstash 是一个接收、处理、转发日志的工具,支持系统日志、webserver 日志、错误日志、应用日志,总之包括所有可以抛出来的日志类型。在一个典型的使用场景下(ELK):用 Elasticsearch 作为后台数...
logstash 数据类型的修改
sxf_123456的博客
09-01 1万+
logstash 数据类型的修改 logstash 中可以设置字段的类型为integer,float,string filter{ mutate{ convert => ["request_time","float"] #设置request_time的类型为float类型 } } 注意:mutate 除了转化字符值,还支持对数组类型的字段进行转换,即将["1","2"]转换
ELK入门(四)——logstash上传messages至ES,在Kibana检索
Netceor的博客
01-22 1701
如何上传:https://blog.51cto.com/jinlong/2055042 解决数据量变少,https://blog.youkuaiyun.com/ljfphp/article/details/89340807,因为已经在一个点运行 运行后到head查看,这时应该已经有了相关的记录,有可能有延时可以多刷新几次。 创建Index pattern 这里的pattern name不一定要全名,也可以logstash-systemlog*,就可以将所有前缀为logstash-systemlog的
logstash解析系统的messages日志
weixin_33763244的博客
07-27 3025
logstash解析系统日志的写法,output中的stdout为调试,生产可以移除 input { redis { host => "192.168.1.181" port => 6379 db => "0" data_type => "list" key => "815" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值