堆栈内存溢出
  繁体   English   中英

Logstash grok 和正则表达式过滤器

[英]Logstash grok & regex filter

 原文  2019-12-16 20:54:16       regex/ logstash/ logstash-grok/ elk

问题描述

想要一个从日志消息中提取给定信息的过滤器。

目前正在使用,尽管它非常特定于一种格式/日志布局

filter {
  if "ONT" in [message] {
   grok{
      match => { "message" => "%{SYSLOGBASE} %{WORD:Alarm_Severity} %{DATA:Message} %{QS:ONT_ID} %{DATA:Time} %{QS:ONT_Message}" }
   }
 }

日志文件是:

Dec 16 15:01:13 172.20.x.xx NPF_OLT_LAB05: clear Alarm for card 1/1 at 2019/12/16 15:01:13.39: "Backup files exist"
Dec 16 15:01:13 172.20.x.xx NPF_OLT_LAB05: service "403
 for ONT: "10002" - ONT needs restart at 2019/12/16 15:01:13.39 ONT message: "Backup files exist"

想要布局给我这些参数 Time:15:01:13

主机:NPF_OLT_LAB05

警报严重性:清除

ONT ID:10002

源IP:172.20.x.xx

ONT 消息:“备份文件存在”

消息:清除卡 1/1 的警报

服务 ID:403

1 个解决方案

解决方案1
 1  2019-12-17 07:17:40

我猜这是两个不同的日志,你需要有两个不同的 grok 模式,如下所示,

Dec 16 15:01:13 172.20.12.12 NPF_OLT_LAB05:在 2019/12/16 15:01:13.39 清除卡 1/1 的警报:“备份文件存在”

Grok 模式

(?<Date>%{MONTH} +%{MONTHDAY}) %{TIME:Time} %{IPV4:SourceIP} %{NOTSPACE:HOST}\:\s(%{WORD:Severity} %{GREEDYDATA:Message})\s(?<timestamp>%{YEAR}\/%{MONTHNUM}\/%{MONTHDAY}\s%{TIME})\S\s\S%{GREEDYDATA:ONTMessage}\"

12 月 16 日 15:01:13 172.20.x.xx NPF_OLT_LAB05:ONT 服务“403:”10002“-ONT 需要在 2019/12/16 15:01:13.39 重新启动 ONT 消息:“备份文件存在”

Grok 模式

(?<Date>%{MONTH} +%{MONTHDAY}) %{TIME:Time} %{IPV4:SourceIP} %{NOTSPACE:HOST}\S\s%{WORD:Severity}\s\S%{BASE10NUM:ServiceID} %{NOTSPACE}\s(?:ONT: \S%{BASE10NUM:ONT_ID}\S) %{NOTSPACE} %{GREEDYDATA:Message}\s(?<timestamp>%{YEAR}\/%{MONTHNUM}\/%{MONTHDAY}\s%{TIME}) (?:ONT message\: \S(?<ONT Message:>%{GREEDYDATA}\S))

低于 Conf

 filter {
      if "ONT" in [message] {
       grok{
          match => { "message" => [ "(?<Date>%{MONTH} +%{MONTHDAY}) %{TIME:Time} %{IPV4:SourceIP} %{NOTSPACE:HOST}\:\s(%{WORD:Severity} %{GREEDYDATA:Message})\s(?<timestamp>%{YEAR}\/%{MONTHNUM}\/%{MONTHDAY}\s%{TIME})\S\s\S%{GREEDYDATA:ONTMessage}\"" , 
                                  "(?<Date>%{MONTH} +%{MONTHDAY}) %{TIME:Time} %{IPV4:SourceIP} %{NOTSPACE:HOST}\S\s%{WORD:Severity}\s\S%{BASE10NUM:ServiceID} %{NOTSPACE}\s(?:ONT: \S%{BASE10NUM:ONT_ID}\S) %{NOTSPACE} %{GREEDYDATA:Message}\s(?<timestamp>%{YEAR}\/%{MONTHNUM}\/%{MONTHDAY}\s%{TIME}) (?:ONT message\: \S(?<ONT Message:>%{GREEDYDATA}\S))" ]
          }
       }
     }

解决方案2
 0  2021-11-13 17:40:00

204.62.56.3 - - [20/May/2015:17:05:38 +0000] "GET /presentations/logstash-puppetconf-2012/images/kibana-chef-hits-6min-each.png HTTP/1.1" 200 80555 "http://semicomplete.com/presentations/logstash-puppetconf-2012/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.102 Safari/537.36"

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Logstash Grok过滤器正则表达式 RegEx 过滤器在 RegExr 中有效,但在 Logstash Grok 中无效 在logstash中使用grok过滤器的条件和正则表达式疑问 LogStash Grok正则表达式反向引用 Logstash grok过滤器比Java正则表达式模式匹配慢 使用正则表达式和 grok 进行 logstash 日志解析 Logstash grok 过滤器 apache 模式 链接logtash的grok过滤器模式 自定义GROK过滤器-Logstash-&gt; Elasticsearch 找不到logstash grok过滤器模式
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM