嘴巴会说(情商)比技术有时候更重要!

水平有限,希望你看完有所收获!

背景

1,filebeat直连Elasticsearch,需要对massage提取一些特定的字段。

2,如果你对数据需要处理的比较多还是建议用logstash,logstash更强大一些。

pipeline 简单介绍

pipeline 我最开始了解的时候是使用jenkins的时候,即交付流水线。

平时写的jenkinsfile就是用的pipeline。

我理解的pipeline就是把你在界面上配置的自动化变成代码脚本。即Pipeline as Code。

一、原始massage

原始的日志内容如下,

我需要提取:4975481caf96a734bdb300acc118b5b5

2021-06-17 20:50:39|ERROR|4975481caf96a734bdb300acc118b5b5|1623934239.079|20003|user service error|/var/www/html/vendor/mdp/java-client/src/JavaClientResponse.php

二、操作

想要使用filebeat提取massage字段

1,得先在es里面创建一个pipeline脚本。

2,配置filebeat使用es的pipeline脚本。

2.1 创建pipeline.json文件

就是随便在linux目录创建一个文件。

文件名称随便起,后期能找到就行。方便以后做更改。

vim extract-traceid-pipeline.json

{

  "description" : "extract-traceid-pipeline",    # 描述,可以描述一下这个pipeline的作用

  "processors" : [

    {

      "grok" :{            # grok 语法

        "field" : "message",    # 需要对你采集的信息的哪个字段进行处理。其实就是filebeat采集完一条日志之后 来执行这个处理。你可以对采集的任何字段的值进行处理

        "patterns" : ["ERROR\\|%{DATA:trace_id}\\|"]    # 这个就是从message信息中提取信息的语法了。

      }

    }

  ]

}

# [""] 这个是固定写法,里面的才是正则

# 2021-06-17 20:50:39|ERROR|4975481caf96a734bdb300acc118b5b5|1623934239.079......

# 提取4975481caf96a734bdb300acc118b5b5,可以看到这段数据之前的是ERROR|

# 那我前面就写ERROR\\| |需要转义但是es也需要转义一层,所以就是两个\\

# %{} 这个是固定的写法,就是你想要提取哪个信息然后 使你提取出来的信息成为一个字段key:value。

# DATA 是grok的语法,内置字段类型,比如

                               DATE:表示你提取的信息是日期

                               NUMBER:表示为数值

                               DATA:表示为字符串

                               IP:表示为一个ip地址

                               你在这标识的类型会在kibana上面把key的类型标识出来。

# :trace_id 这个表示你给 你提取出来的信息定义一个Key的名称,比如

                               trace_id:4975481caf96a734bdb300acc118b5b5

                               到时候你收集到的这条日志信息里面就会多出这一个字段

                               你在kibana就能搜索到。

                               这个名称你随便定义就行。

2.2 将json文件传到es

在你json文件所在的目录执行

curl -H "Content-Type: application/json" -XPUT 'http://192.168.31.61:9200/_ingest/pipeline/extract-traceid-pipeline' -d@extract-traceid-pipeline.json

# extract-traceid-pipeline 这个名称你可以随便起,但是在filebeat配置的时候需要写这个名称

# extract-traceid-pipeline.json 这个就是你自己的json文件

2.3 查看pipeline脚本

可以看到es里面有我们上传的pipeline规则了

访问:http://192.168.31.61:9200/_ingest/pipeline,我没安装google浏览器json插件。安装一个就格式化了。

还有就是可以用kibana的开发工具看到:

2.4 filebeat配置

# 编辑filebeat.yml配置文件

output.elasticsearch:

  hosts: ["192.168.31.61:9200","192.168.31.62:9200","192.168.31.63:9200"]

  pipelines:                                  # pipelines 就是你下面可以放多个pipeline

    - pipeline: "extract-traceid-pipeline"    # 这个名称就是你curl put到es里面 你后面写的那个名称

      when.contains:                          # 这里是一个filebeat的配置语法,可以看看filebeat的官方文档,大致的意思就是if 条件判断

        log_topics: "php-errlogs"             # 就是当log_topics:"php-errlogs" 的时候才用这个pipeline 

   # when 就是if

   # contains 就是 包含的意思 还有其他的比如:and,or,not,equals(必须相等)

2.5 查看数据

可以直接查看es数据,也可以去kibana上面看。收集的数据里面就会多出一个字段。

三、grok在线调试工具

https://www.5axxw.com/tools/v2/grok.html

filebeat 提取获取massage字段 利用pipeline grok 7.12的更多相关文章

  1. java对象的内存布局(二):利用sun.misc.Unsafe获取类字段的偏移地址和读取字段的值

    在上一篇文章中.我们列出了计算java对象大小的几个结论以及jol工具的使用,jol工具的源代码有兴趣的能够去看下.如今我们利用JDK中的sun.misc.Unsafe来计算下字段的偏移地址,一则验证 ...

  2. Filebeat Nginx Module 自定义字段

    Filebeat Nginx Module 自定义字段 一.修改/usr/local/nginx/conf/nginx.conf中 log_format access '$remote_addr - ...

  3. resultset 对象获取行字段数据时报:java.sql.SQLException: Column 'id' not found.

    resultset 对象获取行字段数据时报:java.sql.SQLException: Column 'id' not found. 代码: String sql="SELECT d.co ...

  4. sql 根据指定条件获取一个字段批量获取数据插入另外一张表字段中+MD5加密

    /****** Object: StoredProcedure [dbo].[getSplitValue] Script Date: 03/13/2014 13:58:12 ******/ SET A ...

  5. GridView控件RowDataBound事件中获取列字段值的几种途径

    前台: <asp:TemplateField HeaderText="充值总额|账号余额"> <ItemTemplate> <asp:Label ID ...

  6. SharePoint 获取Lookup 字段的值

    获取某个List里的Lookup字段的值是很普遍的事,那么我们将它封装起来 获取Lookup字段值的方法: /// <summary> /// To get lookup field Id ...

  7. thinkphp获取特定字段的两种方法

    thinkphp getField( )和field( ) 2014年10月05日 ⁄ 综合 ⁄ 共 1509字 ⁄ 字号 小 中 大 ⁄ 评论关闭 做数据库查询的时候,比较经常用到这两个,总是查手册 ...

  8. 浏览器中上传Excel文件,服务器获取Excel字段。写入的数据库中。操作Excel的方式jxl和poi。

    从Excel中获取字段,官方给我们提供了方法,地址https://poi.apache.org/components/spreadsheet/quick-guide.html#CellContents ...

  9. sql server 获取数据字段(表的字段和类型信息)

    获取数据字段(表的字段和类型信息) SELECT 表名= then d.name else '' end, 表说明= then isnull(f.value,'') else '' end, 字段序号 ...

随机推荐

  1. 006.Python循环语句while循环

    循环结构 优点 减少代码冗余 提升效率 while循环 语法结构 while 条件表达式: 循环体 code1 code2 打印0-100 i = 0 while i <= 100: print ...

  2. STM32之HAL库、标准外设库、LL库(STM32 Embedded Software)-(转载)

    STM32 Embedded Software  工作以来一直使用ST的STM32系列芯片,ST为开发者提供了非常方便的开发库.到目前为止,有标准外设库(STD库).HAL库.LL库 三种.前两者都是 ...

  3. STM32 中的HARDFAULT 的查找方法

    http://blog.csdn.net/zyboy2000/article/details/7668331

  4. 企业定制CRM系统的5步流程

    由于所处的行业不同,不同的企业对CRM系统的需求也不同.除了行业通用的功能之外,每个企业都有自己独特的功能需求.为了让CRM系统跟上这种需求的变化,CRM厂商通常也会提供CRM系统定制开发功能来满足不 ...

  5. 5分钟安装docker教程

    Centos安装docker需要操作系统是 CentOS 7 or 8,必须启用centos extras存储库.默认情况下,此存储库处于启用状态,但如果已禁用它,则需要重新启用它. 卸载旧版本 老版 ...

  6. 一文带你搞懂 RPC 到底是个啥

    RPC(Remote Procedure Call),是一个大家既熟悉又陌生的词,只要涉及到通信,必然需要某种网络协议.我们很可能用过HTTP,那么RPC又和HTTP有什么区别呢?RPC还有什么特点, ...

  7. GO学习-(33) Go实现日志收集系统2

    Go实现日志收集系统2   一篇文章主要是关于整体架构以及用到的软件的一些介绍,这一篇文章是对各个软件的使用介绍,当然这里主要是关于架构中我们agent的实现用到的内容 关于zookeeper+kaf ...

  8. Go基础结构与类型03---标准输入与输出

    package main import ( "fmt" "strconv" ) //每次接收一个用户输入 func main031() { //定义a, b两个 ...

  9. TensorRT 加速性能分析

    TensorRT 加速性能分析 Out-of-the-box GPU Performance 模型推理性能是什么意思?在为用户评估潜在的候选项时,不测量数据库查询和预筛选(例如决策树或手动逻辑)的贡献 ...

  10. 如何使用TensorCores优化卷积

    如何使用TensorCores优化卷积 本文将演示如何在TVM中使用TensorCores编写高性能的卷积计划.假设卷积的输入有大量数据.首先介绍如何在GPU上优化卷积. TensorCore简介 每 ...