2. 程式人生 > >logstash mutate split日誌切分

logstash mutate split日誌切分

阿新 發佈:2019-01-11

2015-06-15 10:58:23

通過logstash可以將日誌過濾

(即取到http_request值,如下)

42.62.45.23 - - [15/Jun/2015:10:27:33 +0800] "GET /www/delivery/aj.php?id=29 HTTP/1.1" 200 10309 "-" "-" "10.72.16.60:80" 0.111 
72.62.45.23 - - [15/Jun/2015:10:27:33 +0800] "GET /www/delivery/jo.php?id=29 HTTP/1.1" 200 10309 "-" "-" "10.72.16.60:80" 0.111

現在要對紅色框內切分出來

wKiom1V-OjqDJgFQAADVJTGCZp8308.jpg

不難看出,紅色框內連結是以問號為分割點的,

這裡我們用到logstash mutate split

官方說明如下

Synopsis

This is what it might look like in your config file:

filter {
  split {    
  add_field => ... # hash (optional), default: {}    
  add_tag => ... # array (optional), default: []    
  field => ... # string (optional), default: "message"   
   remove_field => ... # array (optional), default: []    
   remove_tag => ... # array (optional), default: []    
   terminator => ... # string (optional), default: "\n"
  }
}

按語法進行切分

mutate {
    split => ["http_request" ,"?"]  #http_request以問號為切割點
    add_field => ["request_url", "%{http_request[0]}"]   #取出陣列中第一個值,同時新增request_url為新的field
   
}

重新啟動logstash,

可以看出,我們的日誌已經成功切分出來了

 

wKioL1V-QH7CfB9tAAHAbC8KvfE519.jpg

相關推薦

logstash mutate split日誌切分

2015-06-15 10:58:23 通過logstash可以將日誌過濾 (即取到http_request值,如下) 42.62.45.23 - - [15/Jun/2015:10:27:33 +0800] "GET /www/delivery/aj.php?id=29 HTTP/1.

Elasticsearch+logstash+kibana實現日誌分析(實驗)

elasticsearch logstash kibana Elasticsearch+logstash+kibana實現日誌分析(實驗)一、前言 Elastic Stack(舊稱ELK Stack),是一種能夠從任意數據源抽取數據,並實時對數據進行搜索、分析和可視化展現的數據分析框架。(h

logstash實現nginx日誌status報警

存儲 格式 使用 win 定時 json mman 腳本 watermark elk搭建方法詳見之前一篇文章http://blog.51cto.com/chentianwang/1915326廢話不多說 環境介紹192.168.102.20 nginx logstas

使用Filebeat和Logstash集中歸檔日誌

inter 配置 std host col nco buffer can spa 方 案 Filebeat->Logstash->Files Filebeat->Redis->Logstash->Files Nxlog(Rsyslog、Log

logstash記錄mongodb日誌

logstash mongodb日誌 環境:mongodb 3.2.17 logstash 6mongodb日誌實例格式文件路徑為/root/mongodb.log:2018-03-06T03:11:51.338+0800 I COMMAND [conn1978967] command top_f

linux audit審計(4)--audit的日誌切分,以及與rsyslog的切分協同使用

切分 pri kernel 下場 表示 審計 action 通過 小時 audit的規則配置稍微不當,就會短時間內產生大量日誌,所以這個規則配置一定要當心。當audit日誌寫滿後,可以看到如下場景: -r-------- 1 root root 8388609 Mar 3

logstash收集tomcat日誌

logstash1,日誌格式2015-09-28·09:50:48·[http-bio-80-exec-13]·DEBUG·com.weitoo.server.aspect.LogAspect·-{ip:183.16.4.40,url:http://api.xx.com/server/sc/commodity

Logstash收集nginx日誌之使用grok過濾插件解析日誌

stat 使用 ssa agent AD IT ber ems tput grok作為一個logstash的過濾插件,支持根據模式解析文本日誌行,拆成字段。 nginx日誌的配置: log_format main ‘$remote_addr - $rem

Linux/Centos Tomcat 配置日誌切分以及腳本自動清理

ron ear 在服務器 新的 exec 很多 color name 發現 Tomcat是Apache軟件基金會(Apache Software Foundation)的Jakarta項目中的一個核心項目,由Apache,Sun和其他一些公司及個人共同開發而成。由於有了Su

logstash對nginx日誌進行解析

eat sent bytes list min oat try port log logstash對nginx日誌進行解析過濾轉換等操作;配置可以用於生產環境,架構為filebeat讀取日誌放入redis,logstash從redis讀取日誌後進行操作;對user_agen

logstash收集syslog日誌

.mm sys obj deb utf process spool -c settings logstash收集syslog日誌註意:生產用syslog收集日誌!!! 編寫logstash配置文件 #首先我用rubydebug測試數據 [root@elk-node

ELK學習筆記之CentOS 7下ELK(6.2.4)++LogStash+Filebeat+Log4j日誌整合環境搭建

  0x00 簡介 現在的公司由於絕大部分專案都採用分散式架構,很早就採用ELK了,只不過最近因為額外的工作需要,仔細的研究了分散式系統中,怎麼樣的日誌規範和架構才是合理和能夠有效提高問題排查效率的。 經過仔細的分析和研究,確定下面的架構應該是比較合理的之一(Filebeat也支援直

輸出控制檯資訊到日誌 並 通過cronolog對tomcat進行日誌切分

windows下tomcat預設並不會把控制檯輸出的資訊都記錄進日誌檔案。但是在生產環境中,出現問題時,控制檯的日誌輸出是無法查據的,因此需要將日誌記錄下來。 解決方法: 輸出日誌到檔案 修改tomcat的bin目錄下的startup.bat檔案,執行此項修改後日誌會輸出到檔案中,在控制檯中不會再輸出

logstash獲取nginx日誌 兩種方法

獲取nginx日誌要寫grok 還有很多正則來做 那麼很多像我一樣的新手不知道該如何操作 下面我們來個簡單的 第一種 : 重點是: 把nginx的access.log日誌格式改成json型別 更重要的是下面兩行 log_format json '{"@timestamp"

基於ElasticSearch+Logstash+Kibana的日誌分析、儲存、展示

ELK簡介 ELK是一套完整的日誌解決方案,由ElasticSearch、Logstash、 Kibana這三款開源軟體組成。 EastiSearch是基於Lucene開發的分散式儲存檢引擎,用來儲存各類日誌; Logstash對日誌進行收集、分析,並將其儲存供以後使用: Ki

Logstash 採集伺服器日誌datahup處理上傳阿里雲 Maxcomputer

阿里雲官方提供多種資料採集方式    阿里雲Maxcomputer資料上傳工具 阿里雲官網 博文           Logstash + DataHub + MaxCompute/StreamComput

nginx日誌切分

1、編寫shell指令碼cut_nginx_log.sh,內容如下 #!/bin/bash #設定日誌檔案存放目錄 LOG_HOME="/home/nginx/logs/" access_log=host.access.log; error_log=error.log; pid=`ps -ef |g

logstash收集Nginx日誌,轉換為JSON格式

Nginx日誌處理為JSON格式,並放置在http區塊: 1 log_format json '{"@timestamp":"$time_iso8601",' 2 '"@version":"1",' 3

filebeat + kafka + logstash + Elasticsearch + Kibana日誌收集系統搭建

一、介紹        在日常運維工作中,對於系統和業務日誌的處理尤為重要。今天,在這裡分享一下自己部署的filebeat + kafka + ELK開源實時日誌分析平臺的記錄過程。 1、ELK介紹      &nbs

使用logstash收集syslog日誌時,必須使用root使用者啟動Logstash

logstash是elstic stack套件中負責收據、轉換資料用的工具。 logstash其中一項功能是收集syslog日誌,syslog的預設埠時514。 可能的配置檔案 input { syslog { port => "514" } } out