Logstash详解之——filter模块

最新推荐文章于 2024-07-17 13:20:15 发布
最新推荐文章于 2024-07-17 13:20:15 发布
阅读量481 收藏
点赞数
分类专栏: ELK 文章标签: Logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xcl119xcl/article/details/89241388
版权
本文介绍了Logstash的filter组件,特别是mutate插件的使用,包括split、add_field、convert等配置选项,用于数据拆分、字段转换,将字符串转换为整型,并提到了其他如grok、ruby、date和json插件的功能。通过这些插件,可以有效处理和解析日志数据,便于进一步分析和存储。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Logstash三个组件的第二个组件,也是整个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。
1、grok插件 grok插件有非常强大的功能,他能匹配一切数据,但是他的性能和对资源的损耗同样让人诟病。

filter{
    
    grok{
        #只说一个match属性,他的作用是从message 字段中吧时间给抠出来,并且赋值给另个一个字段logdate。
        #首先要说明的是,所有文本数据都是在Logstash的message字段中中的,我们要在过滤器里操作的数据就是message。
        #第二点需要明白的是grok插件是一个十分耗费资源的插件,这也是为什么我只打算讲解一个TIMESTAMP_ISO8601正则表达式的原因。
        #第三点需要明白的是,grok有超级多的预装正则表达式,这里是没办法完全搞定的,也许你可以从这个大神的文章中找到你需要的表达式
        #http://blog.youkuaiyun.com/liukuan73/article/details/52318243
        #但是,我还是不建议使用它,因为他完全可以用别的插件代替,当然,对于时间这个属性来说,grok是非常便利的。
        match => ['message','%{TIMESTAMP_ISO8601:logdate}']
    }
}

2、mutate插件 mutate插件是用来处理数据的格式的,你可以选择处理你的时间格式,或者你想把一个字符串变为数字类型(当然需要合法),同样的你也可以返回去做。可以设置的转换类型 包括: "integer", "float" 和 "string"。

filter {
    mutate {
        #接收一个数组,其形式为value,type
        #需要注意的是,你的数据在转型的时候要合法,你总是不能把一个‘abc’的字符串转换为123的。
        convert => [
                    #把request_time的值装换为浮点型
                    "request_time", "float",
                    #costTime的值转换为整型
                    "costTime", "integer"
                    ]
    }
}

我的logstash是从kafka中读取数据,取出来的数据格式为"zhangsan_1_25_student_15064573848";一个人的姓名_性别_年龄_职业_时间戳,我的需求是将每个字段分别存到elasticsearch中,所以首先需要对取出来的字符串拆分,以便模板能映射各个字段
 

filter{
    mutate{
        split=>["message","_"]  //使用split以下划线进行拆分

        add_field => {  //由于拆分完,只有值,没有字段名,所以还要使用add_field添加字段

          "name" => "%{[message][0]}"
        }
        add_field => {
          "gender" => "%{[message][1]}"
        }
        add_field => {
          "age" => "%{[message][2]}"
        }
        add_field => {
          "job" => "%{[message][3]}"
        }
        add_field => {
          "time" => "%{[message][4]}"
        }
        remove_field => ["message"]
    }
    mutate{ //要转换字段,请重新再添加一个mutate
        convert => { "

最低0.47元/天 解锁文章
Logstash数据处理服务的过滤插件Filter配置详解
江晓龙的博客
07-13 2155
FilterLogstash配置文件中的一部分,也是较为重要的一部分,主要是针对收集来的日志数据做进一步的格式化处理。过滤常用插件:json、kv、grok、geoip、date过滤插件通用配置字段:JSON插件主要用于接收json格式的日志数据,将json数据进行解析,展开成logstash的数据结构,放到日志数据的最顶层通过json插件可以将json格式的日志数据中每一个键和值单独分离出来,方便在kibana上进行数据检索。常用字段配置::指定要解析的字段,一般是日志数据内容messages字段,在这
ELK学习总结(2)——ELK 原理介绍及实践详解
科技D人生
09-20 4962
一、需求背景 业务发展越来越庞大,服务器越来越多 各种访问日志、应用日志、错误日志量越来越多,导致运维人员无法很好的去管理日志 开发人员排查问题,需要到服务器上查日志,不方便 运营人员需要一些数据,需要我们运维到服务器上分析日志 二、为什么要用到ELK 一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大也就是日志量多而复杂的场景中,此...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1711
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
logstash filter 过滤器详解
热门推荐
magic_kid_2010的专栏
05-10 1万+
logstash filter 插件详解
logstash配置文件中filter方法介绍
最新发布
qq_37647812的博客
07-17 1319
logstash配置文件中filter方法介绍
Logstash详解之——output模块
xcl119xcl的专栏
04-12 9908
原始学习资料,请参考官方文档:https://www.elastic.co/guide/en/logstash/current/output-plugins.html Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据到ES. 在这里我只介绍如何输出到ES,至于如何输出...
【十】分布式微服务架构体系详解——架构设计理念
马猴烧酒└(┐卍^o^)卍ドゥルルル~楪詩月「YUZURIHA SHIZUKI」
07-28 1295
前言 前面几课的内容从分布式架构的一些常见场景出发,介绍了分布式的各种问题和解决方案以及目前一些比较成熟的技术实现。在实施微服务架构时,我们更多的是使用这些成熟的技术。作为一个架构师或者想在技术架构领域深耕的开发人员,对于分布式系统相关的技术不仅仅要会用。在做技术选型及方案时,更需要对这些技术的实现思路、算法以及优点和限制进行了解。本节课内容作为整个课程系列的收尾,会把微服务架构结合Docker的一些技术选型进行介绍,包括服务的持续集成、容器编排以及日志采集和安全技术做个简单的引申,希望能给各位读者一些参考
Fliebeat+Kafka+Elasticsearch+Logstash日志分析实战
悦分享
10-08 1199
ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开源软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stack 已经成为目前最流行的集中式日志解决方案。Elasticsearch:分布式搜索和分析引擎,具有高可伸缩、高可靠和易管理等特点。
【ELK使用指南 2】常用的 Logstash filter 插件详解(附应用实例)
这是博客的简介的简介
10-18 4820
logstash filter模块的常用插件
logstashfilter日期插件
12-15
logstashfilter日期插件,解压,在logstash的Gemfile中添加一行(以logstash-output-webhdfs为例): [ec2-user@ip-xxx-xxx-xxx-xxx logstash-2.3.0]$ vim Gemfile ...... gem "logstash-output-webhdfs", :path => "/home/ec2-user/logstash-output-webhdfs" 执行 bin/logstash-plugin install --no-verify
Logstash filter常用插件详解
qq_44930876的博客
01-16 1560
Logstash filter常用插件详解
logstash filter && output 简介
...
07-10 1518
input 详解参考之前的文章 https://blog.youkuaiyun.com/gekkoou/article/details/80986017 input 官方详解 https://www.elastic.co/guide/en/logstash/current/input-plugins.html filter 官方详解 https://www.elastic.co/guide/en/l...
Logstash Filter
Yuanshigou9的博客
02-22 815
ELK_Logstash Filter
开源日志监控采集平台ELKF
R1chArd_TvT 的 Blog
05-26 1823
filter中的四个插件:date 、grok 、multiline 、mutate
Logstash filter 的插件使用
JinLu_的博客
06-18 2187
logstash 组件 filter使用 提供的插件 过滤。
Logstash(三)filter插件简介
LoveSummer
03-05 1501
Filter Plugin FilterLogstash功能强大的主要原因,它可以对Logstash Event进行丰富的处理,比如解析数据、删除字段、类型转换等等,常见的有如下几个: date日期解析 grok正则匹配解析 dissect分割符解析 mutate对字段作处理,比如重命名、删除、替换等 json按照json解析字段内容到指定字段中 geoip增加地理位置数据 ruby利用r...
Logstash过滤器插件filter
sinat_34241861的博客
07-27 584
grok正则捕获 grok是一个十分强大的logstash filter插件,它可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。它是目前Logstash中解析非结构化日志数据最好的方式 grok的语法规则: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样的IP地址 举例: 原始数据:172.16.213.132 [07/Feb/2018:16:24:19 +0800] “GET /HTTP/1.1” ..
logstash 配置文件——rsyslog.conf
05-21
filter 插件使用 grok 插件解析 syslog 消息,并使用 date 插件将 syslog 时间戳转换为 Logstash 可识别的时间格式。最后,output 插件将处理后的日志数据发送到 Elasticsearch。注意,该示例仅适用于 rsyslog 日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xcl119xxcl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值