<pre name="code" class="html">下面是日志的样子

55.3.244.1 GET /index.html 15824 0.043

正则的例子

%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}

配置文件里是怎么写得? 

input {

  file {

    path => “/var/log/http.log”

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

解析后,是个什么样子? 

client: 55.3.244.1

method: GET

request: /index.html

bytes: 15824

duration: 0.043

/*********1

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

 stdout {

  codec=>rubydebug{}

   }

 }

此时的输出

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:03:23.554Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

/***换成json呢?

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{"message":"55.3.244.1 GET /index.html 15824 0.043","@version":"1","@timestamp":"2016-08-27T15:05:07.945Z","path":"/var/log/http.log","host":"0.0.0.0"}

/***分别发送到elasticsearch看下:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:08:00.336Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMiuMLEY-onx06xWo-",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:08:00.336Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0"

    }

}

/*******使用grok 正则解析日志

zjtest7-frontend:/usr/local/logstash-2.3.4/config# cat log01.conf

input {

  file {

    path => "/var/log/http.log"

  }

}

filter {

  grok {

    match => [ "message", "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" ]

  }

}

output {

      elasticsearch {

                hosts => "192.168.32.80:9200"

                index => "logstash-zjzc-test"

        }

		stdout {

			codec => rubydebug

		}

        }

输出:

zjtest7-frontend:/usr/local/logstash-2.3.4/config# ../bin/logstash -f log01.conf

Settings: Default pipeline workers: 1

Pipeline main started

{

       "message" => "55.3.244.1 GET /index.html 15824 0.043",

      "@version" => "1",

    "@timestamp" => "2016-08-27T15:09:59.173Z",

          "path" => "/var/log/http.log",

          "host" => "0.0.0.0",

        "client" => "55.3.244.1",

        "method" => "GET",

       "request" => "/index.html",

         "bytes" => "15824",

      "duration" => "0.043"

}

elasticsearch:

{

    "_index": "logstash-zjzc-test",

    "_type": "logs",

    "_id": "AVbMjLJeEY-onx06xWpC",

    "_version": 1,

    "_score": 1,

    "_source": {

        "message": "55.3.244.1 GET /index.html 15824 0.043",

        "@version": "1",

        "@timestamp": "2016-08-27T15:09:59.173Z",

        "path": "/var/log/http.log",

        "host": "0.0.0.0",

        "client": "55.3.244.1",

        "method": "GET",

        "request": "/index.html",

        "bytes": "15824",

        "duration": "0.043"

    }

}


												


											
grok 正则解析日志例子<1>的更多相关文章
	

    
								
  1. logstash 使用grok正则解析日志
		
    http://xiaorui.cc/2015/01/27/logstash%E4%BD%BF%E7%94%A8grok%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90%E6%9 ...
    
		
    2. 
						
  2. Logstash使用grok插件解析Nginx日志
		
    grok表达式的打印复制格式的完整语法是下面这样的: %{PATTERN_NAME:capture_name:data_type}data_type 目前只支持两个值:int 和 float. 在线g ...
    
		
    3. 
						
  3. 使用logstash的grok插件解析springboot日志
		
    使用logstash的grok插件解析springboot日志 一.背景 二.解决思路 三.前置知识 四.实现步骤 1.准备测试数据 2.编写`grok`表达式 3.编写 logstash pipel ...
    
		
    4. 
						
  4. 使用Hive的正则解析器RegexSerDe分析nginx日志
		
    1.环境: hadoop-2.6.0 + apache-hive-1.2.0-bin 2.使用Hive分析nginx日志,站点的訪问日志部分内容为: cat /home/hadoop/hivetest ...
    
		
    5. 
						
  5. Logstash使用grok过滤nginx日志(二)
		
    在生产环境中,nginx日志格式往往使用的是自定义的格式,我们需要把logstash中的message结构化后再存储,方便kibana的搜索和统计,因此需要对message进行解析. 本文采用grok ...
    
		
    6. 
						
  6. python高效解析日志入库
		
    python脚本解析日志文件入库一般有三个重要的步骤:读文件.解析文件.入库.在这三个方面下功夫,可确保我们获得最优的性能(这里不讨论并发) 1 读文件:一次读一行,磁盘IO太多,效率低下:一次性读如 ...
    
		
    7. 
						
  7. elk系列7之通过grok分析apache日志【转】
		
    preface 说道分析日志,我们知道的采集方式有2种: 通过grok在logstash的filter里面过滤匹配. logstash --> redis --> python(py脚本过 ...
    
		
    8. 
						
  8. C语言解析日志,存储数据到伯克利DB
		
    编译命令 gcc -o dbwriter dbwriter.c -ldb dbwriter.c #include <assert.h> #include <stdlib.h>  ...
    
		
    9. 
						
  9. Grok 正则捕获
		
    Grok 正则捕获: \s+(?<request_time>\d+(?:\.\d+)?)\s+ 回顾下: (?:pattern) 匹 配 pattern 但不获取匹配结果,也就是说这是一个 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. USB枚举过程的详细流程
			
    USB枚举过程的详细流程 用户将一个USB设备插入USB端口,主机为端口供电,设备此时处于上电状态.主机检测设备.1>Hub使用中断通道将事件报告给Host.2>Host发送Get_Por ...
    
			
    2. 
						
  2. USB_scsi 之旅
			
    现在总结一下scsi,scsi协议有很多,所以只总结这次在usb mass storage里面用到的协议,主要包括inquiry,format , read write等等命令. 下面会一个一个总结. ...
    
			
    3. 
						
  3. Delphi中的异常处理(10种异常来源、处理、精确处理)
			
    一.异常的来源 在Delphi应用程序中,下列的情况都比较有可能产生异常. 1.文件处理 2.内存分配 3.windows资源 4.运行时创建对象和窗体 5.硬件和操作系统冲突 6.网络问题 7.数据 ...
    
			
    4. 
						
  4. javascript之Date
			
    JSON 日期转 JS日期,我们知道,日期类型转成JSON之后,返回的数据类似这样: /Date(1379944571737)/ 但是这种日期并不能直接显示,因为根本没有人知道这是什么意思,下面提供一 ...
    
			
    5. 
						
  5. TextReader/TextWriter 的类
			
    TextReader以及TextWriter这两个类,非常有用,很多方法都接受它们作为参数. TextReader有两个子类: StringReader/StringWriter 用于读取字符串: S ...
    
			
    6. 
						
  6. STL中map与hash_map容器的选择收藏
			
    这篇文章来自我今天碰到的一个问题,一个朋友问我使用map和hash_map的效率问题,虽然我也了解一些,但是我不敢直接告诉朋友,因为我怕我说错了,通过我查询一些帖子,我这里做一个总结!内容分别来自al ...
    
			
    7. 
						
  7. 锁sql server锁
			
    锁的概述 一. 为什么要引入锁 多个用户同时对数据库的并发操作时会带来以下数据不一致的问题: 丢失更新A,B两个用户读同一数据并进行修改,其中一个用户的修改结果破坏了另一个修改的结果,比如订票系统 脏 ...
    
			
    8. 
						
  8. HDU3994(Folyd + 期望概率)
			
    Mission Impossible Time Limit: 30000/10000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Oth ...
    
			
    9. 
						
  9. HDOJ-1014 Uniform Generator
			
    http://acm.hdu.edu.cn/showproblem.php?pid=1014 给出式子seed(x+1) = [seed(x) + STEP] % MOD seed初始为0,给出STE ...
    
			
    10. 
						
  10. JSONObject和JSONArray的简单使用(json-lib)
			
    一. jar包 commons-lang.jar commons-beanutils.jar commons-collections.jar commons-logging.jar ezmorph.j ...
    
			
    11.