2. 程式人生 > >ELK中logstash下的grok正則表示式總結

ELK中logstash下的grok正則表示式總結

阿新 發佈:2019-02-09

首先,我的web專案列印的日誌是這樣的:

2016-11-30 11:10:44,568 INFO [org.springframework.web.servlet.DispatcherServlet] - <FrameworkServlet 'XXX': initialization completed in 1674 ms>

這樣的格式是由於我使用的是log4j.properties配置的是

# Pattern to output: date priority [category] - message
log4j.appender.logfile.layout=org.apache.log4j.PatternLayout
log4j.appender.logfile.layout.ConversionPattern=%d %p [%c] -<%m>%n

這裡怎麼配置格式,可以檢視:

--------------=====================================-----------------------------------

#Log4J採用類似C語言中的printf函式的列印格式格式化日誌資訊,列印引數如下: 
#%m 輸出程式碼中指定的訊息 
#%p 輸出優先順序,即DEBUG,INFO,WARN,ERROR,FATAL 
#%r 輸出自應用啟動到輸出該log資訊耗費的毫秒數 
#%c 輸出所屬的類目,通常就是所在類的全名 
#%t 輸出產生該日誌事件的執行緒名 
#%n 輸出一個回車換行符,Windows平臺為“\r\n

”,Unix平臺為“\n 
#%d 輸出日誌時間點的日期或時間,預設格式為ISO8601,也可以在其後指定格式 
#如:%d{yyyy年MM月dd日HH:mm:ss,SSS},輸出類似:20120105 22:10:28,921 
#%l 輸出日誌事件的發生位置,包括類目名、發生的執行緒,以及在程式碼中的行數 
#如:Testlog.main(TestLog.java:10) 
#%F 輸出日誌訊息產生時所在的檔名稱 
#%L 輸出程式碼中的行號 
#%x 輸出和當前執行緒相關聯的NDC(巢狀診斷環境),javaservlets多客戶多執行緒的應用中 
#%% 輸出一個"%"字元 
# 
可以在%與模式字元之間加上修飾符來控制其最小寬度、最大寬度、和文字的對齊方式。如:
 
#%5c: 輸出category名稱,最小寬度是5category<5,預設的情況下右對齊 
#%-5c:輸出category名稱,最小寬度是5category<5"-"號指定左對齊,會有空格 
#%.5c:輸出category名稱,最大寬度是5category>5,就會將左邊多出的字元截掉,<5不會有空格 
#%20.30c:category名稱<20補空格,並且右對齊,>30字元,就從左邊交遠銷出的字元截掉

-----------------=======================================------------------------------------

這個是基本的,自己配置好,注意其中的%m才是我們的重點,因為這個m代表的日誌是我們自己打印出來的想要

獲取的資訊,我在上一篇中講了怎麼配,需要的盆友可以看

http://blog.csdn.net/shunzi1046/article/details/53379779

然後這裡我再次修改,我的log4j.properties中是這樣的:

log4j.appender.stdout.layout.ConversionPattern=%d %p %m%n

並且,我的日誌輸出類中拼湊的格式是這樣的:

logger.info(ip+"/"+username +"/" + method +"/" + requestUrl)

所以最後打印出來的日誌是這樣的:

2016-12-01 11:18:05,550 INFO 127.0.0.1/zhangsan/GET/http://127.0.0.1:8080/xxxx/xxxx.html?xxxx

這裡的資訊都是我需要的 ,時間-日誌級別-IP-使用者名稱-method-請求url,

然後我就要配置我的logstash/conf/下面的test.conf檔案:

input {
    log4j{ 
        type => "log4j-json"
        port => 4567
    } 
}
filter {
    grok{
        match => { "message" => "%{IP:client}/%{USER:auth}/%{WORD:method}/%{NOTSPACE:request}"}
    }                    
}
output {    
    elasticsearch { 
        hosts => ["172.00.00.25:9200"]
        index => "logstash-%{+yyyy.MM.dd}"
    }    
}

這樣要注意了,對於grok的匹配,一定要先在http://grokdebug.herokuapp.com/ 上面匹配成功了再拿來用,否則麻煩

到淚崩哭,然後要注意的是,我這裡是從IP先開始匹配的,因為IP是我的%m中的第一項,明白了吧,不是從%d開始匹配的!都是血和淚啊,

不過這裡還是說明一下全部parse的grok語句:

%{TIMESTAMP_ISO8601:date}\s%{LOGLEVEL:loglevel}\s%{IP:client}/%{USER:auth}/%{WORD:method}/%{NOTSPACE:request}

-----------------------------

然後依次執行Elasticsearch ,logstash ,kibana,進入http://伺服器Ip:5601下面,可以看到我自己拼湊的欄位(filed)已經能看到了,但是上面有黃色小三角警告,進入Setting重新整理filed就匯入進來了,然後就可以正常使用了,我就是摔倒在

grok裡啊,現在正在研究unique field的使用,一個人琢磨出來的經驗,好痛苦,有盆友需要可以給我留言,知無不言言無不盡!

======================================================================

最後留點參照的grok格式:

2016-05-21T09:53:25.687134+08:00 localhost [audit root/13558 as root/13558 on pts/0/172.16.100.99:50897->10.10.10.6:22]

%{TIMESTAMP_ISO8601:timestamp} %{IPORHOST:login_host} \[\S+ %{USER:login_user}/%{NUMBER:pid} as %{USER:sudouser}/%{NUMBER:sudouser_pid} on %{WORD:tty}/%{NUMBER:tty_id}/%{IPORHOST:host_ip}:%{NUMBER:source_port}-\>%{IPORHOST:local_ip}:%{NUMBER:dest_port}\]

-----------------------------------------------------------------------------

10.2.21.130 - - [08/Apr/2013:11:13:40 +0800] "GET /mediawiki/load.php HTTP/1.1" 304 - "http://som.d.xiaonei.com/mediawiki/index.php" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/536.28.10 (KHTML, like Gecko) Version/6.0.3 Safari/536.28.10" 

grok{
    match => { "message" => "%{IPORHOST:clientip}

    %{USER:ident}
    %{USER:auth}

     \[%{HTTPDATE:timestamp}\]

    \"(?:%{WORD:verb} %{URIPATHPARAM:request}(?: HTTP/%{NUMBER:httpversion})?|-)\"

     %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{NUMBER:responsetime}

     \"(?:%{URI:referrer}|-)\"  "   }

}

------------------------------------------------------------------------

55.3.244.1  GET   /index.html    15824    0.043(耗時s)

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

------------------------------------------------------------------

如下 Grok 常用的表示式解析日誌:

%{IPORHOST:clientip} %{NOTSPACE:identd} %{NOTSPACE:auth} \[%{HTTPDATE:timestamp}\] %{WORD:http_method} %{NOTSPACE:request} %{NOTSPACE:request_query|-} %{NUMBER:port} %{NUMBER:statusCode} (%{NOTSPACE:bytes}|-) %{NUMBER:reqTime} %{QS:referer} %{QS:userAgent}

相關推薦

ELKlogstashgrok表示式總結

首先,我的web專案列印的日誌是這樣的: 2016-11-30 11:10:44,568 INFO [org.springframework.web.servlet.DispatcherServlet] - <FrameworkServlet 'XXX': initi

LinuxPOSIX表示式API使用

一、概述 在Linux環境中,經常使用正則表示式,如grep、sed、find等等,目前正則表示式有2中不同的標準,分別是Perl標準和POSIX標準,這2種風格,大體相同,稍有差別。在 C/C++的標準庫均不支援表示式,不過在C++11標準中,貌似引入了boost的正則庫,在Li

PHP用批量替換Imgsrc內容,用表示式獲取圖片路徑實現縮圖功能

/** * 圖片地址替換成壓縮URL * @param string $content 內容 * @param string $suffix 字尾 */ function get_img_thumb_url($content="",$suffix="!c550x260.jpg") { // by

springMVc 的@RequestMapping使用表示式

相信大家都知道@RequestMapping註解的作用,我這裡就不介紹這個註解了。直接進入主題. 我在下面將以例子來講解: @RequestMapping(value="/get/{id}") public String getById(@PathVariable(name="id")

grok表示式一行多個結果匹配

原理介紹 grok內建了一些常用正則的表示式,其在grok-pattern檔案中; 你可以自己定義一些喜歡的正則表示式,用於匹配自己需求的內容: 例如:中國式的時間匹配2018/9/11 9:46:32  TIMESTAMP_CHS %{YEAR}/%{MO

js的常用的表示式

正則表示式: regular expression(有規律的表示式) 作用: 用來檢索或者替換字串中符合表示式條件的內容(即字串) 通過regExp建構函式生成正則表示式 方法1: 引數1,要檢索的字串(匹配的條件) 引數2,修飾符,預設區分大小寫 var patter

Python網路爬蟲的網頁中文表示式匹配小心得

這是第一篇部落格,關於在正則表示式的情況下通過python的re模組對爬蟲爬下的網頁資料進行正則表示式,匹配得出所有中文字元 #!/usr/bin/python # -*- coding: utf-8 -*- import re def matchURL_info(

Swift: 從一定格式的字串擷取資料返回(表示式方式)

A.    輸入要擷取的字串,返回一個目標輸出引數的字串陣列1.輸入輸出引數:  1. input str = "raw=281804 mV level=100.00%"2. output battaryArray[0] = "281804"         battaryA

java提供了對正則表示式的支援。 有的時候,恰當地使用正則,可以讓我們的工作事半功倍! 如下程式碼用來檢驗一個四則運算式資料項的數目,請填寫劃線部分缺少的程式碼。 注意:只填寫缺少程式碼,不要

java中提供了對正則表示式的支援。 有的時候,恰當地使用正則,可以讓我們的工作事半功倍! 如下程式碼用來檢驗一個四則運算式中資料項的數目,請填寫劃線部分缺少的程式碼。 注意:只填寫缺少程式碼,不要寫任何多餘內容,例如,已有的雙引號。 public class A {pu

在QTavleView新增QLineEdit(用表示式校驗輸入的IP地址)

在QTableView中新增QLineEdit,並且該QLineEdit是需要填入IP地址,因此輸入的資料必須遵循IP地址的規則。這時可以使用QT中的委託。 委託的一篇文章http://blog.csdn.net/hello_world_lvlcoder/article

Python一些簡單的表示式(爬蟲所需(.*?))

這篇部落格旨在介紹使用爬蟲時一些常用的正則表示式。 在之前,我一直都是一個談正則表示式色變的人。因為正則表示式實在是太多太多,想要記得除非是經常用,否則也很難完全掌握其中所有的內容。所以這些東西都是現用現查,然後要一個一個的搜尋,將自己所需要的進行查詢。所以學

檢測輸入框為空的表示式

1  ^   匹配輸入字串的開始位置,除非在方括號表示式中使用,此時它表示不接受該字元集合。要匹配 ^ 字元本身,請使用 \^。.  匹配除換行符 \n 之外的任何單字元。要匹配 . ,請使用 \. 。如果一個輸入框為空,可以把每一行為空的去替代,最後檢驗,即為 var te

JAVA(分組)表示式的應用

分組表示式的應用 分組語法 (?\exp) 匹配exp,並捕獲文字到名稱為name的組裡,也可以寫成(?’name’exp) demo public static void main(String[] args){

限制QLineEdit的數值輸入範圍(QT表示式方法),順便簡單介紹QT表示式方法

首先看幾個例子: 1.限制浮點數輸入範圍為[-180,180] QRegexp rx("^-?(180|([1-9]?[0-9]|1[0-7][0-9])(\\.\\d)?)$"); QRegExpValidator *pReg = new QRegExpV

linux練習表示式

1.什麼是正則表示式 在做文書處理或編寫程式時,用到查詢、替換等功能,使用正則表示式能夠簡單快捷的完成目標。簡單而言,正則表示式通過一些特殊符號的幫助,使使用者可以輕鬆快捷的完成查詢、刪除、替換等處

vim 常用替換的表示式表示

1. 將括號及內部的所有內容替換為空,例如:  解決辦法:  :%s/([^)]\+)//g   即匹配以(開頭1個或者多個任意字元再以)結尾的字串; 或者:%s/([^)]*)//g  即匹配以(開頭0個或者多個任意字元再以)結尾的字串

匹配文字的網址java表示式

司有個業務需要匹配文字中的網址,度娘,谷哥了半天經常看到有對html中獲取超連結的正則,只要匹配<a href=['"]?(.*?)['"]?即可,但如果是普通文字型別的則比較費事些,分享下最後的表示式: import java.util.regex.Matcher

JAVA表示式總結

下表顯示了正則表示式的語法: 表 1.1 正則表示式語法 元字元 說明 . 匹配任何單個字元。例如正則表示式“b.g”能匹配如下字串:“big”、“bug”、“b g”,但是不匹配“buug”。  $ 匹配行結束符。例如正則表示式“EJB$”能夠匹配字串“I like EJB”的末尾,但是不

在C語言利用PCRE實現表示式

1. PCRE簡介 2. 正則表示式定義 3. PCRE正則表示式的定義 4. PCRE的函式簡介 5. 使用PCRE在C語言中實現正則表示式的解析 6. PCRE函式在C語言中的使用小例子 PCRE(Perl Compatible Regular Expressions即:perl語言相容正則表

windos編譯表示式庫pcre

最近寫東西用到正則表示式到網上找了一大圈沒有發現好的,因為我用的是c++而且不想用ATL。最終發現c寫的pcre挺好而且權威,php和python都用的它。 言歸正轉下面說一下windows下編譯pcre的步驟: 2.下載完之後新建一個lib後者dll工程之後把pcre-