<pre name="code" class="html">下面是日志的样子

55.3.244.1 GET /index.html 15824 0.043

正则的例子

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

配置文件里是怎么写得? 

input {

  file {

    path => “/var/log/http.log”

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

解析后,是个什么样子? 

client: 55.3.244.1

method: GET

request: /index.html

bytes: 15824

duration: 0.043

/*********1

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

 stdout {

  codec=>rubydebug{}

   }

 }

此时的输出

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:03:23.554Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

/***换成json呢?

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{"message":"55.3.244.1 GET /index.html 15824 0.043","@version":"1","@timestamp":"2016-08-27T15:05:07.945Z","path":"/var/log/http.log","host":"0.0.0.0"}

/***分别发送到elasticsearch看下:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:08:00.336Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMiuMLEY-onx06xWo-",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:08:00.336Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0"

    }

}

/*******使用grok 正则解析日志

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:09:59.173Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0",

        "client" => "55.3.244.1",

        "method" => "GET",

       "request" => "/index.html",

         "bytes" => "15824",

      "duration" => "0.043"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMjLJeEY-onx06xWpC",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:09:59.173Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0",

        "client": "55.3.244.1",

        "method": "GET",

        "request": "/index.html",

        "bytes": "15824",

        "duration": "0.043"

    }

}


												


											
grok 正则解析日志例子<1>的更多相关文章
	

    
								
  1. logstash 使用grok正则解析日志
		
    http://xiaorui.cc/2015/01/27/logstash%E4%BD%BF%E7%94%A8grok%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90%E6%9 ...
    
		
    2. 
						
  2. Logstash使用grok插件解析Nginx日志
		
    grok表达式的打印复制格式的完整语法是下面这样的: %{PATTERN_NAME:capture_name:data_type}data_type 目前只支持两个值:int 和 float. 在线g ...
    
		
    3. 
						
  3. 使用logstash的grok插件解析springboot日志
		
    使用logstash的grok插件解析springboot日志 一.背景 二.解决思路 三.前置知识 四.实现步骤 1.准备测试数据 2.编写`grok`表达式 3.编写 logstash pipel ...
    
		
    4. 
						
  4. 使用Hive的正则解析器RegexSerDe分析nginx日志
		
    1.环境: hadoop-2.6.0 + apache-hive-1.2.0-bin 2.使用Hive分析nginx日志,站点的訪问日志部分内容为: cat /home/hadoop/hivetest ...
    
		
    5. 
						
  5. Logstash使用grok过滤nginx日志(二)
		
    在生产环境中,nginx日志格式往往使用的是自定义的格式,我们需要把logstash中的message结构化后再存储,方便kibana的搜索和统计,因此需要对message进行解析. 本文采用grok ...
    
		
    6. 
						
  6. python高效解析日志入库
		
    python脚本解析日志文件入库一般有三个重要的步骤:读文件.解析文件.入库.在这三个方面下功夫,可确保我们获得最优的性能(这里不讨论并发) 1 读文件:一次读一行,磁盘IO太多,效率低下:一次性读如 ...
    
		
    7. 
						
  7. elk系列7之通过grok分析apache日志【转】
		
    preface 说道分析日志,我们知道的采集方式有2种: 通过grok在logstash的filter里面过滤匹配. logstash --> redis --> python(py脚本过 ...
    
		
    8. 
						
  8. C语言解析日志,存储数据到伯克利DB
		
    编译命令 gcc -o dbwriter dbwriter.c -ldb dbwriter.c #include <assert.h> #include <stdlib.h>  ...
    
		
    9. 
						
  9. Grok 正则捕获
		
    Grok 正则捕获: \s+(?<request_time>\d+(?:\.\d+)?)\s+ 回顾下: (?:pattern) 匹 配 pattern 但不获取匹配结果,也就是说这是一个 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Android Service 通过 BroadcastReceiver 更新Activity UI
			
    1:MainActivity.java public class MainActivity extends Activity { private TextView tvInfo = null; pri ...
    
			
    2. 
						
  2. TEA加密算法的文件加密和解密的实现
			
    一.TEA加密算法简介 TEA加密算法是由英国剑桥大学计算机实验室提出的一种对称分组加密算法.它采用扩散和混乱方法,对64位的明文数据块,用128位密钥分组进行加密,产生64位的密文数据块,其循环轮数 ...
    
			
    3. 
						
  3. Keil C51 与 ARM 并存的方法
			
    很多朋友都在想,怎么让keil C51与ARM能够并存使用.有安装经验的朋友都知道,安好C51后再安ARm,C51不能正常工作:安好ARM后再安C51,ARM不能正常工作. 网上也有相关解决办法,不过 ...
    
			
    4. 
						
  4. C# 编写服务 Windows service
			
    1.编写服务教程 http://jingyan.baidu.com/article/ea24bc395e16f8da62b331e7.html 这里不多说了. 给大家一个连接,上面有详细的教程,下面说 ...
    
			
    5. 
						
  5. 认识元数据和IL(上) <第三篇>
			
    说在,开篇之前 很早就有说说Metadata(元数据)和IL(中间语言)的想法了,一直在这篇开始才算脚踏实地的对这两个阶级兄弟投去些细关怀,虽然来得没有<第一回:恩怨情仇:is和as>那么 ...
    
			
    6. 
						
  6. python手记(45)
			
    python 声音编辑,减少音量 #!/usr/bin/env python # -*- coding: utf-8 -*- #http://blog.csdn.net/myhaspl #code:m ...
    
			
    7. 
						
  7. wireshark----教你如何抓包
			
    wireshark----教你如何抓包 wireshark是一款强大的抓包工具,走过路过一定不要错过就是了,当你学习TCP/IP协议的时候,学习使用wireshark 抓包正是理论联系实际最好的方法, ...
    
			
    8. 
						
  8. rsync常用参数详解
			
    rsync常用参数详解 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 在linux中,一切皆是文件,包括你的终端,硬件设备信息,目录,内核文件等等.所以工作中我们难免会遇到拷贝文件 ...
    
			
    9. 
						
  9. Unity 人物跟谁手指的移动(第一种方式)
			
    长夜漫漫无心睡眠,敲敲代码,越敲越来劲! 我发现好多小朋友都在玩熊出没之xxxx这个游戏,居然打了一下午都没玩通第2关,我把测试也叫来陪我一起玩! 结果他也打不通,我再去叫策划,他也没打过,我去叫主管 ...
    
			
    10. 
						
  10. STL中的set容器的一点总结(转)
			
    STL中的set容器的一点总结 1.关于set C++ STL 之所以得到广泛的赞誉,也被很多人使用,不只是提供了像vector, string, list等方便的容器,更重要的是STL封装了许多复杂 ...
    
			
    11.