<pre name="code" class="html">下面是日志的样子

55.3.244.1 GET /index.html 15824 0.043

正则的例子

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

配置文件里是怎么写得? 

input {

  file {

    path => “/var/log/http.log”

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

解析后,是个什么样子? 

client: 55.3.244.1

method: GET

request: /index.html

bytes: 15824

duration: 0.043

/*********1

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

 stdout {

  codec=>rubydebug{}

   }

 }

此时的输出

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:03:23.554Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

/***换成json呢?

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{"message":"55.3.244.1 GET /index.html 15824 0.043","@version":"1","@timestamp":"2016-08-27T15:05:07.945Z","path":"/var/log/http.log","host":"0.0.0.0"}

/***分别发送到elasticsearch看下:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:08:00.336Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMiuMLEY-onx06xWo-",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:08:00.336Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0"

    }

}

/*******使用grok 正则解析日志

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:09:59.173Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0",

        "client" => "55.3.244.1",

        "method" => "GET",

       "request" => "/index.html",

         "bytes" => "15824",

      "duration" => "0.043"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMjLJeEY-onx06xWpC",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:09:59.173Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0",

        "client": "55.3.244.1",

        "method": "GET",

        "request": "/index.html",

        "bytes": "15824",

        "duration": "0.043"

    }

}


												


											
grok 正则解析日志例子<1>的更多相关文章
	

    
								
  1. logstash 使用grok正则解析日志
		
    http://xiaorui.cc/2015/01/27/logstash%E4%BD%BF%E7%94%A8grok%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90%E6%9 ...
    
		
    2. 
						
  2. Logstash使用grok插件解析Nginx日志
		
    grok表达式的打印复制格式的完整语法是下面这样的: %{PATTERN_NAME:capture_name:data_type}data_type 目前只支持两个值:int 和 float. 在线g ...
    
		
    3. 
						
  3. 使用logstash的grok插件解析springboot日志
		
    使用logstash的grok插件解析springboot日志 一.背景 二.解决思路 三.前置知识 四.实现步骤 1.准备测试数据 2.编写`grok`表达式 3.编写 logstash pipel ...
    
		
    4. 
						
  4. 使用Hive的正则解析器RegexSerDe分析nginx日志
		
    1.环境: hadoop-2.6.0 + apache-hive-1.2.0-bin 2.使用Hive分析nginx日志,站点的訪问日志部分内容为: cat /home/hadoop/hivetest ...
    
		
    5. 
						
  5. Logstash使用grok过滤nginx日志(二)
		
    在生产环境中,nginx日志格式往往使用的是自定义的格式,我们需要把logstash中的message结构化后再存储,方便kibana的搜索和统计,因此需要对message进行解析. 本文采用grok ...
    
		
    6. 
						
  6. python高效解析日志入库
		
    python脚本解析日志文件入库一般有三个重要的步骤:读文件.解析文件.入库.在这三个方面下功夫,可确保我们获得最优的性能(这里不讨论并发) 1 读文件:一次读一行,磁盘IO太多,效率低下:一次性读如 ...
    
		
    7. 
						
  7. elk系列7之通过grok分析apache日志【转】
		
    preface 说道分析日志,我们知道的采集方式有2种: 通过grok在logstash的filter里面过滤匹配. logstash --> redis --> python(py脚本过 ...
    
		
    8. 
						
  8. C语言解析日志,存储数据到伯克利DB
		
    编译命令 gcc -o dbwriter dbwriter.c -ldb dbwriter.c #include <assert.h> #include <stdlib.h>  ...
    
		
    9. 
						
  9. Grok 正则捕获
		
    Grok 正则捕获: \s+(?<request_time>\d+(?:\.\d+)?)\s+ 回顾下: (?:pattern) 匹 配 pattern 但不获取匹配结果,也就是说这是一个 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Java 学习   第五篇;面向对象
			
    1:基本数据类型的拆装: 基本变量类型 通过 new WrapperClass(primitive) 创建包装类对象: 包装类的对象 通过 WrapperInstance.XXXValue() 获取包 ...
    
			
    2. 
						
  2. windows bat脚本编写
			
    windows批处理 (cmd/bat) 编程详解 开始之前先简单说明下cmd文件和bat文件的区别:在本质上两者没有区别,都是简单的文本编码方式,都可以用记事本创建.编辑和查看.两者所用的命令行代码 ...
    
			
    3. 
						
  3. 用 Graphviz画神经网络图
			
    用 Graphviz . 以下代码提供一个例子, 具体使用时做简单修改即可. digraph G { rankdir=LR splines=line nodesep=.05; node [label= ...
    
			
    4. 
						
  4. loadlibrary(xxx.dll) 失败 返回14001 由于应用程序配置不正确 应用程序未能启动.重新安装应用程序可能会纠正这个问 .
			
    欢迎大家拍砖! 一.应用背景 有一个在win7中用VS2008编译成功,运行正常的程序:Exe+DLL; 放到XP虚拟镜像上运行却提示:LoadLibrary返回14001. (1) 后来采用了下面方 ...
    
			
    5. 
						
  5. 解决mongodb连接失败问题
			
    错误提示: MongoDB shell version: 2.4.9 connecting to: test Mon Mar  3 23:45:09.491 Error: couldn't conne ...
    
			
    6. 
						
  6. 静态链表实现 (A-B)U(B-A)
			
    图中黄色部分为(A-B)U(B-A)的实际意义,用结构数组做静态链表来实现该表达式 大致流程是先建立A链表,接着将挨个输入的B中元素在A链表中遍历.如果没找到,就加到A链表结尾下标为endpointe ...
    
			
    7. 
						
  7. AIX5.3CPU占用高的问题核查
			
    AIX5.3 CPU占用高问题核查步骤 1.topas查看占用cpu占用最高的进程的PID 2.执行: ps -mp PID -o THREAD 以查找相应进程下所有正在占用 CPU 的线程的TID  ...
    
			
    8. 
						
  8. MAC 下cocos2d-x lua 使用dragonbones的方法
			
    项目使用db,网上查了半天全是vs和android的流程,没查到有mac的.这里记录一下. quick-cocos-x下的使用方法: a. 将dragonbones(放入ucocos2d_libs中) ...
    
			
    9. 
						
  9. MySQL搜索: WHERE 多条件
			
    WHERE能够按多条件进行搜索. products表例如以下: a WHERE后以and 接两个条件以及三个条件进行搜索: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkb ...
    
			
    10. 
						
  10. C# 之 抽象类与接口
			
    抽象类 C#同意把类和方法声明为abstract,即抽象类和抽象方法.抽象类通常代表一个抽象概念,它提供一个继承的出发点,当设计一个新的对象类时,一定是用来继承的,所以,在一个以继承关系形成的等级结构 ...
    
			
    11.