这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）

2023-12-22

我是 elasticsearch 社区的新人，我希望您能帮助我解决一些我遇到的困难。我的目标是使用 Filebeat 将大量日志文件发送到 Elasticsearch。为了做到这一点，我需要使用带有 Grok 模式处理器的摄取节点来解析数据。如果不这样做，我的所有日志都无法被利用，因为每个日志都落在同一个“消息”字段中。不幸的是，我在 grok 正则表达式方面遇到了一些问题，而且我找不到问题，因为这是我第一次使用它。我的日志看起来像这样：

2016-09-01T10:58:41+02:00 INFO (6):     165.225.76.76   entreprise1 [email protected] /cdn-cgi/l/email-protection    POST    /application/controller/action  Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko   {"getid":"1"}   86rkt2dqsdze5if1bqldfl1
2016-09-01T10:58:41+02:00 INFO (6):     165.225.76.76   entreprise2 [email protected] /cdn-cgi/l/email-protection    POST    /application/controller/action  Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko   {"getid":"2"}   86rkt2rgdgdfgdfgeqldfl1
2016-09-01T10:58:41+02:00 INFO (6):     165.225.76.76   entreprise3 [email protected] /cdn-cgi/l/email-protection    POST    /application/controller/action  Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko   {"getid":"2"}

所以我们有制表符作为分隔符，以及这些字段：日期、ip、公司名称、电子邮件、方法（post、get）、url、浏览器、json_request、可选代码

我的摄取管道 json 如下所示：

PUT _ingest/pipeline/elastic_log_index

    {
      "description" : "Convert logs txt files",
      "processors" : [
        {
          "grok": {
            "field": "message",
            "patterns": ["%{TIMESTAMP_ISO8601:timestamp} %{IP:ip} %{WORD:company}% {EMAILADDRESS:email} %{URIPROTO:method} %{URIPATH:page} %{WORD:browser} %{WORD:code}"]

          }
        },
        {
          "date" : {
            "field" : "timestamp",
            "formats" : ["yyyy-MM-ddTHH:mm:ss INFO(6):"]
          }
        }
      ],
      "on_failure" : [
        {
          "set" : {
            "field" : "error",
            "value" : " - Error processing message - "
          }
        }
      ]
    }

这是行不通的。

1）如何转义字符？例如时间戳末尾的“INFO (6):”

2）我可以在我的 gork 模式中只使用字段之间的空格吗？文件日志中的分隔符是制表符。

3）行尾的代码并不总是出现在日志中，这可能是一个问题吗？

4）你知道为什么这个配置无论如何都不能解析我在elasticsearch下的日志文档吗？

非常感谢您的帮助，请原谅我的英语水平，我是法国人。

您的 grok 模式与日志中的所有内容都不匹配，这就是它不起作用的原因。例如，%{WORD}只会匹配Mozilla, not /5.0。您可以创建自定义模式来匹配整个browser/version像这样(?<browser>%{WORD}(/%{NUMBER})?).

你可以逃脱INFO (6):只需将其与.*并且它将在输出中被忽略。

就空格而言，请使用预定义的 grok 模式进行匹配%{SPACE}.

最后的代码可以通过创建自定义模式变得可选，即(?<optional_code>%{WORD}?)

然后你的整个 grok 模式将变成，

%{TIMESTAMP_ISO8601:timestamp}.*%{IP:ip}%{SPACE}%{WORD:company_name}%{SPACE}%{EMAILADDRESS:email}%{SPACE}%{URIPROTO:method}%{SPACE}%{URIPATH:page}%{SPACE}(?<browser>%{WORD}(/%{NUMBER})?)%{SPACE}\(%{GREEDYDATA:content}\).*\{%{GREEDYDATA:json}\}%{SPACE}(?<optional_code>%{WORD}?)

它将输出，

{
  "timestamp": [
    [
      "2016-09-01T10:58:41+02:00"
    ]
  ],
  "YEAR": [
    [
      "2016"
    ]
  ],
  "MONTHNUM": [
    [
      "09"
    ]
  ],
  "MONTHDAY": [
    [
      "01"
    ]
  ],
  "HOUR": [
    [
      "10",
      "02"
    ]
  ],
  "MINUTE": [
    [
      "58",
      "00"
    ]
  ],
  "SECOND": [
    [
      "41"
    ]
  ],
  "ISO8601_TIMEZONE": [
    [
      "+02:00"
    ]
  ],
  "ip": [
    [
      "165.225.76.76"
    ]
  ],
  "IPV6": [
    [
      null
    ]
  ],
  "IPV4": [
    [
      "165.225.76.76"
    ]
  ],
  "SPACE": [
    [
      "   ",
      " ",
      "    ",
      "    ",
      "  ",
      " ",
      "   "
    ]
  ],
  "company_name": [
    [
      "entreprise1"
    ]
  ],
  "email": [
    [
      "[email protected] /cdn-cgi/l/email-protection"
    ]
  ],
  "EMAILLOCALPART": [
    [
      "email1"
    ]
  ],
  "HOSTNAME": [
    [
      "gmail.com"
    ]
  ],
  "method": [
    [
      "POST"
    ]
  ],
  "page": [
    [
      "/application/controller/action"
    ]
  ],
  "browser": [
    [
      "Mozilla/5.0"
    ]
  ],
  "WORD": [
    [
      "Mozilla",
      "86rkt2dqsdze5if1bqldfl1"
    ]
  ],
  "NUMBER": [
    [
      "5.0"
    ]
  ],
  "BASE10NUM": [
    [
      "5.0"
    ]
  ],
  "content": [
    [
      "Windows NT 6.1; Trident/7.0; rv:11.0"
    ]
  ],
  "json": [
    [
      ""getid":"1""
    ]
  ],
  "optional_code": [
    [
      "86rkt2dqsdze5if1bqldfl1"
    ]
  ]
}

When 在线测试 https://grokdebug.herokuapp.com/请添加电子邮件的自定义模式，因为目前不支持它们，

EMAILLOCALPART [a-zA-Z][a-zA-Z0-9_.+-=:]+
EMAILADDRESS %{EMAILLOCALPART}@%{HOSTNAME}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）的相关文章

为什么 Logstash 需要这么长时间才能启动/加载？

Edit 我更改了标题因为问题不是我最初想象的那样事实是 logstash 需要超过一分钟开始这可能会被误解为沉默我正在尝试让logstash运行所以我按照官方网站上的说明进行独立安装 http logstash net doc
在 ElasticSearch 7+ 中，如何搜索所有文本字段？

我想在 Elasticsearch 7 3 中存储的文档中搜索单词我希望在以前版本的 Elasticsearch 上运行的一个示例是 query bool must match all oliver must not should fro
如何在logstash.conf文件中创建多个索引？

我使用以下代码在logstash conf中创建索引 output stdout codec gt rubydebug elasticsearch host gt localhost protocol gt http index gt tr
Logstash删除类型并保留_type

我有一个logstash 客户端和服务器客户端将带有logstash的udp输出的日志文件发送到服务器服务器也运行logstash来获取这些日志在服务器上我有一个 json 过滤器它会在实际日志的字段中提取 json 格式的消息
在 Elasticsearch 中对具有一个值的属性进行多个值查询

我正在尝试在这个查询的基础上进行一些构建我正在搜索的索引还有一个带有 id 的实体字段因此一些记录将具有实体 16 实体 156 等具体取决于实体的 ID 我需要以这样的方式扩展此查询以便可以传递数组或某些值列表例如 te
从中间部分匹配完成建议elasticsearch

我有一个名为搜索建议具有以下 search suggest type completion analyzer simple payloads true preserve separators false preserve position
从 App Engine 连接到 Kubernetes 引擎

我们希望使用应用程序引擎灵活的流程来更新位于 Google Kubernetes Engine 上的 ElasticSearch 索引我们需要通过 http s 地址连接到 ElasticSearch 推荐的方法是什么我们不想将集群暴露
如何使用 django-haystack 和 elasticsearch 后端进行模糊搜索？

看起来好像elasticsearch支持模糊查询 http www elasticsearch org guide reference query dsl fuzzy query http www elasticsearch org gui
C# Elasticsearch NEST 无法转换 lambda 表达式

我遇到了与此处描述的完全相同的问题但未得到解答 ElasticSearch NEST 搜索 https stackoverflow com questions 24615676 elasticsearch nest search I us
将 ElasticSearch SearchResponse 对象转换为 JsonObject

我想将elasticsearch搜索结果转换为Json对象我还没有找到任何直接转换的正确方法 SearchResponse response client prepareSearch index setExplain true execu
ElasticSearch - 仅获取与搜索响应中所有顶级字段匹配的嵌套对象

假设我有以下文档 id 1 name xyz users name abc surname def name xyz surname wef name defg surname pqr 我只想获取与搜索响应中的所有顶级字段匹配的嵌套对象我
在 ElasticSearch API 应用程序中找不到 NodeBuilder

我正在尝试实现 Elasticsearch API 我的系统接受 nodeBuilder 时出现错误这是代码 import org elasticsearch action index IndexResponse import org e
在流浪机器中使用elasticsearch设置graylog2服务器

我正在尝试在本地开发计算机上安装graylog2 服务器但遇到了elasticsearch 设置问题我的elasticsearch作为服务安装在我的开发机器上运行的vagrant机器上所以我的elasticsearch没有安装在127
ElasticCloud 的 ElasticSearch 身份验证错误？

我刚刚在 ElasticCloud 上设置了一个新的 ElasticSearch 集群我正在尝试遵循帮助文档 https cloud elastic co help 它说您可以按如下方式发布文档 curl https
弹性搜索文档计数

我正在运行 2 2 版本的 Elastic 搜索我已经创建了索引并加载了示例文档我发现其中有些问题当我给予 GET index type count 我得到了正确的答案 count 9998 shards total 5 succes
无法使用docker在Apple Mac芯片M1上启动elasticsearch

在发布这个问题之前我浏览了许多链接例如 Kibana 无法在 Mac M1 上使用 docker 连接到 ElasticSearch https stackoverflow com questions 73160632 kibana c
从 node.js 创建对 AWS ES 实例的有效签名请求

我试图找到一个示例说明如何连接到 Node js 中的 AWS ES 实例然后通过一个简单的请求访问 ES 集群我正在尝试使用elasticsearch节点包 https www npmjs com package elasticse
ElasticSearch 映射对分组文档进行折叠/执行操作的结果

有一个对话列表每个对话都有一个消息列表每条消息都有不同的字段和action场地我们需要考虑到在对话的第一条消息中使用了动作A 在几条消息之后有使用的动作A 1过了一会儿A 1 1等等有一个聊天机器人意图列表对对话的消息操作进行分组
Elasticsearch 无法写入日志文件

我想激活 elasticsearch 的日志当我运行 elasticsearch 二进制文件时我意识到我在日志记录方面遇到问题无法加载配置这是输出 sudo usr share elasticsearch bin elasticse
ElasticSearch - 尝试在 Windows 上启动服务时出错

昨天我在 Windows Server 2012 R2 上完成了 ElasticSearch 的安装并且能够正常启动 ElasticSearch 服务今天我安装了 Kibana 和 X Pack 但在尝试启动 ElasticSear

随机推荐

com.google.gson.JsonSyntaxException：android 中的 java.lang.IllegalStateException

我收到错误 com google gson JsonSyntaxException java lang IllegalStateException 需要一个字符串但在第1行第3列是BEGIN OBJECT My Code Gson gso
Boost：如果模板参数是指针，则取消引用它

如果模板参数是指针或智能指针我可以使用什么来取消引用它或者如果不是则保持原样 template
CNN中的滤波器数量是多少？

我目前看到theano的API theano tensor nnet conv2d input filters input shape None filter shape None border mode valid subsample 1
Pytorch 中 [-1,0] 的维度范围是多少？

所以我正在努力理解 Pytorch 中有关集合的一些术语我不断遇到同样类型的错误range我的张量不正确当我尝试谷歌寻找解决方案时解释往往更加令人困惑这是一个例子 m torch nn LogSoftmax dim 1 input
Cron 错误文件模式与权限被拒绝

我有一个cron备份我的数据库的工作 crontab l daily etc cron d pg backup sh 但是设置适当的权限存在问题当我有 ls l etc cron d pg backup sh rwxr xr 1 roo
Hive Bucket-理解 TABLESAMPLE(BUCKET X OUT OF Y)

大家好我对 Hive 很陌生我已经在实际操作中了解了 hadoop 中的存储桶概念但未能理解以下几行内容有人可以帮助我吗 SELECT avg viewTime FROM page view TABLESAMPLE BUCKET 1
使用 Batik 从 SVG 中使用 XPath 获取特定元素

我正在尝试使用 Batik 从 SVG 文档中查找一些元素这是我正在使用的示例 SVG 文档
如何在运行时更改类定义？

有没有办法让我在运行时更改类的属性添加删除属性除非您正在使用以下实例否则您无法执行此操作ExpandoObject http msdn microsoft com en us library system dynamic expan
自定义日期选择器

我已经陷入了几个 DatePicker 问题但似乎找不到任何解决方案我目前有一个 DatePickerDialog 非常适合我的需求但我还需要能够隐藏禁用日和月字段以便选择一个月或一年除了实现我的方法之外我找不到任何解
Git for Windows 使用 gitk-all 启动 gitk 上下文菜单

我安装了 Windows 版 Git 当我右键单击一个项目并选择Git History我得到了 Gitk 窗口但每次这样做我都需要设置视图以查看所有分支即使我编辑视图并将其设置为Remember 我在随后访问 Gitk 时仍然没有获得所
POI for XPage - 将 Word 文档保存为富文本字段中的附件

我正在使用 OpenNTF POI 4 XPage 插件这对于生成 Word 文档非常有效现在生成 Word 文档后我想创建一个新的响应文档并将该 Word 文档作为附件存储在该响应文档的富文本字段中这是我的代码在 POI 4
通过另一列的分组值之和标准化 pandas 数据框中的列

我有点坚持尝试标准化 pandas 数据框中列的某些条目所以我有一个像这样的数据框 df pd DataFrame user 0 0 1 1 1 2 2 item A B A B C B C bought 1 1 1 3 3 2 3 df
MariaDB 不允许远程连接

如屏幕截图所示我已将帐户设置为允许远程连接但如第二个屏幕截图所示我仍然无法远程连接我用于在虚拟机 Ubuntu 16 04 中进行测试对我来说我修复了更改文件的错误50 server cnf 我的服务器是Ubuntu 所以更改以
AWS Java SDK正在使用旧版本的jackson jar

目前我正在努力在现有应用程序中添加AWS Java SDK以执行与AWS云相关的操作在导入最新版本的 aws java sdk 即 1 11 113 时我遇到运行时异常在研究了异常之后原因是 java sdk 使用了不推荐使用的版本
不使用 where 子句进行更新

id no 1 1 11 1 21 1 我想更新第二行号至 2 我可以使用的查询是 update test set no 2 where id 11 如果没有 where 子句我怎样才能实现相同的目标我不知道why你会想要但是 UPD
Rest Standard：路径参数或请求参数

我正在创建一个新的 REST 服务向 REST 服务传递参数的标准是什么在 Java 的不同 REST 实现中您可以将参数配置为路径的一部分或请求参数例如路径参数http www rest services com item b
Emacs 中有函数调用层次结构的功能吗

我正在维护别人的代码该代码是在Linux平台上使用GCC 4 4 3用C语言编写的然而代码跳转很多很难找出所有函数是从哪里调用的在 Visual Studio 中有一个称为调用层次结构的功能它将显示函数的调用位置和调用位置
Angularjs + Ionic Framework：如何创建显示 ion-tabs 导航但不为其本身定义选项卡的新路线？

标题很长但这里有一个更好的解释我有一个名为 Login 的模板 html 文件我在 app js 中定义了一条路由如下所示 state login url login templateUrl templates login html
Scala中如何保证类型参数不同？

通过以下定义可以确保具体类型参数相等 trait WithEqual T1 gt T2 lt T2 T2 所以这条线 type A WithEqual Int Int 将是合法的现在我的问题是如何达到完全相反的目的因此以下行应该n
这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）

我是 elasticsearch 社区的新人我希望您能帮助我解决一些我遇到的困难我的目标是使用 Filebeat 将大量日志文件发送到 Elasticsearch 为了做到这一点我需要使用带有 Grok 模式处理器的摄取节点来解析数据

这些日志的 grok 模式应该是什么？ （摄取 filebeat 的管道）

这些日志的 grok 模式应该是什么？ （摄取 filebeat 的管道） 的相关文章

随机推荐

热门标签

这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）

这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）的相关文章