logstash的grok插件作为日志解析工具,如何自定义正则表达式来匹配字符

于 2024-04-09 13:54:14 发布
阅读量1.7k 收藏 11
点赞数 30
文章标签: 正则表达式 graylog 容器 服务器 linux logback elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhuganlai168/article/details/137547854
版权
本文介绍了如何在grok解析工具中处理特定的日期格式,如yyyy-MM-ddHH:mm:ss.SSS,并展示了如何在grok中添加自定义正则表达式以适应业务日志。同时,文章还涉及了使用docker-compose将自定义的java正则文件挂载到logstash实例,以便在日志处理中生效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

grok作为解析解析工具,本身支持很多种类的日期格式,但是我们的日期格式是:yyyy-MM-dd HH:mm:ss.SSS,比如2024-04-08 16:27:31.855。

  • TIMESTAMP_ISO8601: 匹配ISO 8601日期时间格式,例如2024-04-08T10:41:48Z。
  • DATE: 匹配常见的日期格式,例如Apr 8, 2024。
  • TIMESTAMP: 匹配多种日期时间组合格式,例如Apr 8 10:41:48。
  • TIMESTAMP_SEC: 匹配以秒为单位的UNIX时间戳,例如1617924862。
  • TIMESTAMP_MSEC: 匹配以毫秒为单位的UNIX时间戳,例如1617924862123。
  • TIMESTAMP_USEC: 匹配以微秒为单位的UNIX时间戳,例如1617924862123456。
  • TIMESTAMP_NSEC: 匹配以纳秒为单位的UNIX时间戳,例如1617924862123456789。
  • DATE_TIME: 匹配日期和时间的组合,例如2024-04-08 10:41:48。
  • DATE_TIME_TZ: 匹配带有时区信息的日期和时间组合,例如2024-04-08T10:41:48+02:00。
  • DATE_TIME_TZ_OFFSET: 匹配带有时区偏移量的日期和时间组合,例如2024-04-08 10:41:48 GMT+02:00。
  • EPOCH: 匹配从1970年1月1日开始的秒数,例如1617924862。
  • EPOCH_MS: 匹配从1970年1月1日开始的毫秒数,例如1617924862123。

二、grok增加自定义正则表达式

grok自带的正则表达式配置路径是:/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-patterns-core-4.1.2/patterns

在这里插入图片描述

bash-4.2$ ls -la
total 112
drwxrwsr-x 2 logstash root   335 Oct 16  2020 .
drwxrwsr-x 4 logstash root   176 Oct 16  2020 ..
-rw-rw-r-- 1 logstash root  1831 Oct 16  2020 aws
-rw-rw-r-- 1 logstash root  4831 Oct 16  2020 bacula
-rw-rw-r-- 1 logstash ro
最低0.47元/天 解锁文章
使用Logstash过滤插件Grok直接写正则表达式获取日志数据
江晓龙的博客
07-13 1056
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。 请求类型字段(第二列)思路:第二列是
Logstash数据处理服务的过滤插件Grok正则匹配概念以及正则语法
江晓龙的博客
07-13 1047
收集来的日志往往都是非结构的日志,当然也可以通过配置将日志输出成结构化日志,Nginx就支持将日志输出成结构化的功能,但是很多一些开源软件是不支持将日志结构化的,针对这种需求,我们就可以使用正则日志数据输出成功格式化数据。Grok正则插件是作用通过正则表达式将非结构的日志输出成结构化的日志,便于我们在kibana上对日志数据进行筛选。使用Grok正则匹配配置之前,需要对正则表达式有一定的基础。Grok插件自带了一些内置的正则匹配模式,将常用的一些匹配表达式(获取IP、文本字符串、请求URL、数字)写入到了
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
日志分析logstash插件-grok详解
weixin_34314962的博客
07-20 482
一般系统或服务生成的日志都是一大长串。每个字段之间用空格隔开。logstash在获取日志是整个一串获取,如果把日志中每个字段代表的意思分割开来在传给elasticsearch。这样呈现出来的数据更加清晰,而且也能让kibana更方便的绘制图形。 GrokLogstash 最重要的插件。它的主要作用就是将文本格式的字符串,转换成为具体的结构化的数据,配合正则...
Logstashgrok正则匹配自定义
weixin_51432117的博客
12-25 2941
文章目录前言一、grok-patterns二、自定义grok-patterns(正则匹配)1.自定义格式2.组合现有patterns匹配时间3.组合现有patterns匹配中文4.组合现有patterns匹配英文总结 前言 在grok中进行正则匹配,一种是使用logstash中先前定义好的grok-patterns进行正则匹配;另一种是自己定义正则表达式,同时可以借助已有的grok-patterns,进行组合,构造适用的正则表达式。 一、grok-patterns github地址: https:/
Logstashgrok插件
weixin_40108561的博客
05-28 209
语法:http://doc.yonyoucloud.com/doc/logstash-best-practice-cn/filter/grok.html 文本: NOTICE: 2021-04-28 12:44:44 /root/gopath/pkg/mod/icode.baidu.com/baidu/gdp/gdp@v1.1.1-0.20190530102336-689961a086a1/weblogware.go:43 logid[4290488817] err[0] api[game_page..
关于Logstashgrok插件正则表达式例子
jinjin603的博客
06-04 476
logstash filter gork match中的正则匹配,不是随便自己写的,需要按照一定的格式匹配。 具体字段可以参考 https://www.cnblogs.com/stozen/p/5638369.html
grok自定义正则匹配
soso的博客
12-23 2642
前言 今天看到有人问logstash往es里面塞日志数据时,配置文件应该怎么写,并贴了一段日志记录和想保留的字段,这里简单介绍下配置文件里grok自定义正则相关。 正文 首先,grok本身就以为预定义了很多正则表达式提供使用,附上链接: https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns 确实需要自定义的可以按照 (?<>()) 的格式自己写正则,举例: 匹配
使用Logstash过滤插件Grok自定义正则表达式模式并引用
江晓龙的博客
07-13 1578
1)首先在kibana上调试增加一个正则模式模式名称就叫ID 表达式为,表示匹配0-9任意数字,且满足至少3位但不能超过6位,最多6位就是结尾,否则就匹配不上。2)在grok模式中应用自定义正则模式在最后一列增加ID正则模式,然后进行模拟,可以过滤出我们需要的内容3)配置logstash使用自定义正则模式 4)在kibana上展示日志数据增加上新的id字段......
logstash grok 自定义正则
zhaoyangjian724的专栏
12-03 894
Regular Expressions Grok sits on top of regular expressions, so any regular expressions are valid in grok as well. The regular expression library is Oniguruma, and you can see the full supported regexp syntax on the Oniguruma site. Groks 位于正则表达式之上,因此任何正则
Logstash配置插件grok详解
热门推荐
zhengzaifeidelushang的博客
09-24 1万+
Logstash配置插件grok详解 grokLogstash最重要的插件之一,用于将非结构化数据解析为结构化和可查询的数据。即将一个key对应的一长串非结构化的value,转成多个结构化的key-value。 非结构化数据 [2019-09-23 08:13:13,504] {base_task_runner.py:95} INFO - Subtask: [2019-09-23 08:13:1...
Logstash使用grok表达式解析自定义日志
淡水鱼
05-07 3358
grok表达式解析自定义日志格式的完整例子好像不多,所以贴一下以供参考:(key和sign已做删减,各位大佬不要搞事情...)
使用logstash6 的 grok 插件分析IIS日志,并创建Kibana6图形化看板
bugli的博客
03-24 2240
1.添加filter grok plugin 处理IIS 日志 logstash能成功收集IIS日志后,根据日志的格式,再次编辑前端logstash 的shipper.conf 文件,添加filter。 日志的格式为默认的IIS日志: #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port c-ip cs(Use...
Logstash日志解析Grok 模式示例
Elastic 中国社区官方博客
04-27 3523
如果没有日志解析,搜索和可视化日志几乎是不可能的,一个被低估的技能记录器需要读取他们的数据。 解析结构化你的传入(非结构化)日志,以便用户可以在调查期间或设置仪表板时搜索清晰的字段和值。 最流行的日志解析语言是 Grok。 你可以使用 Grok 插件在各种日志管理和分析工具比如 Elastic Stack 中解析日志数据。在这里查看我之前的的 Grok 教程。 但是用 Grok 解析日志可能会很棘手。 本博客将研究一些 Grok 模式示例,这些示例可以帮助您了解如何解析日志数据。 开始使用 Gr.
Logstash:使用自定义正则表达式模式
Elastic 中国社区官方博客
03-26 2643
Logstash是一种服务器端数据处理管道,可同时从多个来源获取数据,对其进行转换,然后将其发送到 “存储”(如 Elasticsearch)。GrokLogstash 中的过滤器,用于将非结构化数据解析为结构化和可查询的内容。是定义搜索模式的字符序列。如果你已经在运行 Logstash,则无需安装额外的正则表达式库,因为Grok 位于正则表达式之上,因此任何正则表达式grok 中也有效——Elastic 文档。
logstashgrok插件自定义规则学习
最新发布
最美dee时光的博客
12-10 855
1、前言 近期通过ELK(Elasticsearch, Logstash, Kibana)对Nginx产生的日志进行采集,但是在对nginx的日志格式进行预处理的时候使用到了logstashgrok插件,特意在此为大家分享下个人的学习总结。 2、Grok提供的常用Patterns说明及举例 要学习Grok的默认表达式,我们就要找到它的具体配置路径,路径如下: patterns路径 [logstash安装路径]/vendor/bundle/jruby/x.x.x/gems/logstash-pattern
ELK logstashgrok 自定义正则匹配日志
夏已微凉、
09-26 2272
一、logstash 配置 grok1、配置单个规则2、配置多个规则二、grok 在线调试1、在线调试2、kibana 中调试三、相关文章 一、logstash 配置 grok 1、配置单个规则 这里的流程是直接用logstash分析input源日志文件,然后处理日志数据fliter,grok,最后把数据输出input到elasticsearch中 匹配下面内容中的 client_ip,method,url,duration [2020-09-26 08:34:41] 127.0.0.1 GET .
ELKgrok正则匹配
没枕头我咋睡觉
01-27 2201
1、Grok简介: groklogstash最重要的插件之一,主要用来通过正则匹配解析抓取到的日志 。 2、Grok预设字段匹配 > 语法:%{SYNTAX:SEMANTIC} > 举例: > 预设字段参考网站 :https://github.com/garethr/logstash-patterns/blob/master/patterns/logstash 3、Grok自定义字段 ...
logstash过滤器插件filter详解及实例
weixin_33957648的博客
01-23 1713
1、logstash过滤器插件filter 1.1、grok正则捕获 grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash解析非结构化日志数据最好的方式 grok的语法规则是: %{语法:语义} “语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,I...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天草二十六_简村人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值