堆栈内存溢出
  繁体   English   中英

如何使用 Logstash 和 grok 插件创建字段

[英]How to create field using Logstash and grok plugin

 原文  2019-10-21 13:30:44       elasticsearch/ logstash/ kibana/ logstash-grok

问题描述

我有以下格式的 tomcat 日志

10.0.6.35 - - [21/Oct/2019:00:00:04 +0000] "GET /rest/V1/productlist/category/4259/ar/final_price/asc/4/20 HTTP/1.1" 200 14970 12

我想创建最后两列的字段,即字节和持续时间,并想使用 Kibana 对其进行分析。 我曾使用 Filebeat 和 Logstash 将数据传输到 Elasticsearch。

我的 Logstash 配置文件如下:

我曾尝试使用以下配置,但无法在 kibana 上看到该字段。

input {
     beats {
     port => 5044
  }
 }

filter {
  grok {
  match => ["message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes}(?m) %{NUMBER:duration}" ]
#match=>{"duration"=> "%{NUMBER:duration}"}
# match => { "message" => "%{COMBINEDAPACHELOG}" }

  }
#  mutate {
#    remove_field => ["@version", "@timestamp"]
#  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
if [fields][log_type] == "access-log"
{
elasticsearch {
  hosts => ["172.31.30.73:9200"]
  index => "%{[fields][service]}-%{+YYYY.MM.dd}"
 }
}
if [fields][log_type] == "application-log"
{
elasticsearch {
  hosts => ["172.31.30.73:9200"]
  index => "%{[fields][service]}-%{+YYYY.MM.dd}"
 }
}
else
{
  elasticsearch {
    hosts => ["172.31.30.73:9200"]
    index => "logstashhh-%{+YYYY.MM.dd}"
}

我希望持续时间和字节成为我在 Kibana 上的可视化字段。

1 个解决方案

解决方案1
 0  2019-10-23 14:32:04

试试这个作为你的logstash配置:

input {
     beats {
     port => 5044
  }
 }

filter {
  grok {
  match => ["message" => "%{NUMBER:bytes}(?m) %{NUMBER:duration}$" ]
#match=>{"duration"=> "%{NUMBER:duration}"}
# match => { "message" => "%{COMBINEDAPACHELOG}" }

  }
#  mutate {
#    remove_field => ["@version", "@timestamp"]
#  }
  date {
    match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]
  }
}

output {
if [fields][log_type] == "access-log"
{
elasticsearch {
  hosts => ["172.31.30.73:9200"]
  index => "%{[fields][service]}-%{+YYYY.MM.dd}"
 }
}
if [fields][log_type] == "application-log"
{
elasticsearch {
  hosts => ["172.31.30.73:9200"]
  index => "%{[fields][service]}-%{+YYYY.MM.dd}"
 }
}
else
{
  elasticsearch {
    hosts => ["172.31.30.73:9200"]
    index => "logstashhh-%{+YYYY.MM.dd}"
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如果字段存在,则显示logstash 如何使用grok在logstash中对日志消息进行分组? 如何使用Grok在Logstash中解析日志字符串? 使用grok的Logstash过滤器 使用grok logstash解析时为空字段插入虚拟值 将Logstash Grok分解存储在字段中 或特定字段的logstash grok中的条件 如何在logstash中基于grok创建过滤器 如何使用logstash(grok)解析以下字符串? 如何使用logstash在elasticsearch中了解java堆栈跟踪?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM