??個人logtash最重要和方便的功能就是日志的過濾和分類了,特此記錄一下syslog的時間過濾和替換@timestamp的方法后专。
???網上大多數(shù)的過濾規(guī)則和替換方法與新版不太相同划鸽,詳情建議參考官方文檔中過濾插件的日期一欄,既然都看到這里了logstash的使用方法我就不介紹了行贪,直接上干貨漾稀,logstash配置里的filter書寫(重點是grok的正則和添加tag):
filter {
grok{
match => ["message","(?<logdate>%{MONTH} +%{MONTHDAY} %{TIME})"]
}
date{
match => [ "logdate", "MMM dd HH:mm:ss"]
locale => "en"
add_tag => "@timestamp"
timezone => "Asia/Shanghai"
}
mutate{
remove_field => ["logdate"]
}
}
??這是可以匹配出/var/log/messages的系統(tǒng)日志時間的并替換掉@timestamp
效果圖:
image.png
可以看出messages與@timestamp完全一致
分享一下Logstash正則表達式分享的地址和在線grok測試的地址
在線gork正則的地址:http://grokdebug.herokuapp.com/
Logstash基礎正則地址:https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns
