Logstash過濾插件

過濾插件

json

輸入配置

[root@es2 conf.d]# vi test.conf 
input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  json {
    source => "message"
  }
}
output {
  file {
    path => "/tmp/test.log"
  }
}


-------------
模擬數(shù)據(jù):
{"remote_addr": "192.168.1.10","url":"/index","status":"200"}

輸出結果

{
    "host": "es2",
    "@version": "1",
    "path": "/var/log/test/1.log",
    "project": "microservice",
    "type": "access",
    "app": "product",
    "status": "200",
    "remote_addr": "192.168.1.10",
    "tags": [
        "web",
        "nginx"
    ],
    "message": "{\"remote_addr\": \"192.168.1.10\",
                 \"url\":\"/index\",
                 \"status\":\"200\"}",
    "@timestamp": "2021-11-04T14:15:49.388Z",
    "url": "/index"
}

輸出至ES

input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  json {
    source => "message"
  }
}
output {
  elasticsearch {
    hosts => ["192.168.153.25:9200"]
    index => "test-%{+YYYY.MM.dd}"
  }
}

kibana顯示

1636036166459.png
1636036254563.png
1636036576720.png

KV

輸入配置

input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  kv {
    field_split => "&?"
  }
}
output {
  elasticsearch {
    hosts => ["192.168.153.25:9200"]
    index => "test-%{+YYYY.MM.dd}"
  }
}

-----------------------------------------------------------------------------
模擬數(shù)據(jù):
www.ctnrs.com?id=1&name=aliang&age=30

kibana顯示

1636036923256.png

Grok

正則表達式

1636082254273.png

Grok Debugger

1636077090199.png

正則匹配模式

#樣例數(shù)據(jù)
192.168.1.10 GET /index.html 15824 0.043

#Grok 模式
%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

#結構化數(shù)據(jù)
{
  "duration": "0.043",
  "request": "/index.html",
  "method": "GET",
  "bytes": "15824",
  "client": "192.168.1.10"
}

#樣例數(shù)據(jù)
192.168.1.10 GET /index.html 15824 0.043

#Grok 模式
(?<ip>\d+\.\d+\.\d+\.\d+) (?<method>\w+) (?<request>/.*) (?<bytes>\d+) (?<duration>\d+\.\d+) 

#結構化數(shù)據(jù)
{
  "duration": "0.043",
  "request": "/index.html",
  "method": "GET",
  "bytes": "15824",
  "client": "192.168.1.10"
}

自定義模式

#樣例數(shù)據(jù)
192.168.1.10 GET /index.html 15824 0.043 123456

#Grok 模式
%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:cid}

#自定義模式
CID [0-9]{5,6}

#結構化數(shù)據(jù)
{
  "duration": "0.043",
  "request": "/index.html",
  "method": "GET",
  "bytes": "15824",
  "client": "192.168.1.10",
  "cid": "123456"
}

配置文件(自定義)

input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  grok {
    patterns_dir =>"/opt/patterns"
    match => {
      "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:cid}"
    }
  }
}
output {
  elasticsearch {
    hosts => ["192.168.153.25:9200"]
    index => "test-%{+YYYY.MM.dd}"
  }
}

---------------------------------------------------------------------------
[root@localhost conf.d]# vi /opt/patterns
CID [0-9]{5,6}

--------------------------------------------------------------------------------

模擬數(shù)據(jù):
192.168.1.10 GET /index.html 15824 0.043 123456

配置文件(多格式匹配)

input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  grok {
    patterns_dir =>"/opt/patterns"
    match => [
         "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:cid}",
         "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{EID:eid} %{TAG:tag}"
        ]
  }
}
output {
  elasticsearch {
    hosts => ["192.168.153.25:9200"]
    index => "test-%{+YYYY.MM.dd}"
  }
}

-------------------------------------------------------------------
[root@localhost conf.d]# vi /opt/patterns
CID [0-9]{5,6}
EID [a-z]{5,6}
TAG \w+

--------------------------------------------------------------------
#192.168.1.10 GET /index.html 15824 0.053 123456
#192.168.1.10 GET /index.html 15824 0.043 abcdef xyz
#兩條都能匹配和接收

GeoIP

配置文件

input {
  file {
    path => "/var/log/test/*.log"
    exclude => "error.log"
    tags => "web"
    tags => "nginx"
    type => "access"
    add_field => {
      "project" => "microservice"
      "app" => "product"
    }
  }
}
filter {
  grok {
    patterns_dir =>"/opt/patterns"
    match => [
         "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{CID:cid}",
         "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration} %{EID:eid} %{TAG:tag}"
        ]
  }
  geoip {
    source => "client"
    database => "/opt/GeoLite2-City.mmdb"
  }
}
output {
  elasticsearch {
    hosts => ["192.168.153.25:9200"]
    index => "test-%{+YYYY.MM.dd}"
  }
}

--------------------------------------------------------------------------
source => "client" client是ip字段(%{IP:client})

測試數(shù)據(jù):
8.8.8.8 GET /index.html 15824 0.043 abcdef xyz

kibana顯示

1636081310192.png

條件判斷

配置文件

input {
  file {
    path => "/var/log/test/test.log"
    add_field => {
    "log_type" => "test"
    }
  }
  file {
    path => "/var/log/test/prod.log"
    add_field => {
    "log_type" => "prod"
    }
  }
}

filter {
  json  {
    source => "message"
  }

  if [log_type] in ["test","dev"] {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "test-%{+YYYY.MM}"
      }
    }
  } else if [log_type] == "prod" {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "prod-%{+YYYY.MM.dd}"
      }
    }
  } else {
    mutate {
      add_field => {
        "[@metadata][target_index]" => "unknown-%{+YYYY}"
      }
    }
  }



}

output {
  elasticsearch {
    hosts => "192.168.153.25:9200"
    index => "%{[@metadata][target_index]}"
  }
}



-------------
模擬數(shù)據(jù):
{"remote_addr": "192.168.1.10","url":"/index","status":"789"}

kibana顯示

1636098769558.png
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
禁止轉載钱豁,如需轉載請通過簡信或評論聯(lián)系作者湿诊。
  • 人面猴
    序言:七十年代末布疼,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌酸纲,老刑警劉巖璧榄,帶你破解...
    沈念sama閱讀 206,968評論 6 482
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異纤怒,居然都是意外死亡,警方通過查閱死者的電腦和手機天通,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,601評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門泊窘,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人像寒,你說我怎么就攤上這事烘豹。” “怎么了诺祸?”我有些...
    開封第一講書人閱讀 153,220評論 0 344
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵携悯,是天一觀的道長。 經(jīng)常有香客問我筷笨,道長憔鬼,這世上最難降的妖魔是什么龟劲? 我笑而不...
    開封第一講書人閱讀 55,416評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮轴或,結果婚禮上昌跌,老公的妹妹穿的比我還像新娘。我一直安慰自己照雁,他們只是感情好避矢,可當我...
    茶點故事閱讀 64,425評論 5 374
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著囊榜,像睡著了一般审胸。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上卸勺,一...
    開封第一講書人閱讀 49,144評論 1 285
  • 城市分裂傳說
    那天砂沛,我揣著相機與錄音,去河邊找鬼曙求。 笑死碍庵,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的悟狱。 我是一名探鬼主播静浴,決...
    沈念sama閱讀 38,432評論 3 401
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼挤渐!你這毒婦竟也來了苹享?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 37,088評論 0 261
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤浴麻,失蹤者是張志新(化名)和其女友劉穎得问,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體软免,經(jīng)...
    沈念sama閱讀 43,586評論 1 300
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡宫纬,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,028評論 2 325
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了膏萧。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片漓骚。...
    茶點故事閱讀 38,137評論 1 334
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖榛泛,靈堂內(nèi)的尸體忽然破棺而出蝌蹂,到底是詐尸還是另有隱情,我是刑警寧澤挟鸠,帶...
    沈念sama閱讀 33,783評論 4 324
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布叉信,位于F島的核電站亩冬,受9級特大地震影響艘希,放射性物質發(fā)生泄漏硼身。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,343評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一覆享、第九天 我趴在偏房一處隱蔽的房頂上張望佳遂。 院中可真熱鬧,春花似錦撒顿、人聲如沸丑罪。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,333評論 0 19
  • 一樁弒父案凤壁,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽吩屹。三九已至,卻和暖如春拧抖,著一層夾襖步出監(jiān)牢的瞬間煤搜,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,559評論 1 262
  • 情欲美人皮
    我被黑心中介騙來泰國打工唧席, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留擦盾,地道東北人。 一個月前我還...
    沈念sama閱讀 45,595評論 2 355
  • 代替公主和親
    正文 我出身青樓淌哟,卻偏偏與公主長得像迹卢,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子徒仓,可洞房花燭夜當晚...
    茶點故事閱讀 42,901評論 2 345

推薦閱讀更多精彩內(nèi)容