Date过滤

input {

	stdin{

		codec => plain

	}

}

filter {

	date {

		match => ["message", "yyyy-MM-dd HH:mm:ss"]

		target => "@timestamp"

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# target是覆盖写那个目标字段

# match 是匹配什么样子的

# 注意时区的时差

正在表达式grok

input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "\d\d\d\d\d\d"}

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# 输出的数据类型转换(Number目前只支持float和int):

filter {

    grok {

        match => {

            "message => "%{WORD} %{NUMBER:newdata:float} %{WORD}"

        }

    }

}



#  重写字段:

overwrite => ["message"]



input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "%{WORD:message:text} %{NUMBER:data:float}"}

		overwrite => ["message"]

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

GeoIP地址查询

filter {

    geoip {

        source => "message"

    }

}

JSON编码

filter{

    json {

        source => "message"

        target => "jsoncontent"

    }

}

key-value切分

input {

	stdin{

		codec => plain

	}

}

filter {

	kv {

		source => "message"

		include_keys => ["name","ip","level"]

		target => warnning

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

数据修改

#总格式

filter {

    mutate {

        ...

    }

}

#1、字符串处理

mudate {

    gsub => ["xxx", "yyy","zzz"] #替换xxx字段中的yyy为zzz

    split => ["xxx","yyy"] #把xxx字段按照yyy字符分割

    join => ["xxx","yyy"] #把xxx字段按照yyy组装,之前分割的东西,用yyy作为分隔符,组装到一起

    merge => ["xxx","yyy"] #合并xxx和yyy字段

    strip => ["xxx"] #去掉xxx字段的前后空格

    lowercase/uppercase => xxx #小写/大写

    rename => ["xxx","yyy"] #xxx字段的名字换成yyy

    update => ["xxx","xxx"] #更新字段,字段不存在不新建

    replace => ["xxx","yyy"] #更新字段,字段不存在则新建

}

ELK系列六:Logstash的Filter模块的更多相关文章

  1. elk系列5之syslog的模块使用【转】

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作log ...

  2. elk系列5之syslog的模块使用

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作 lo ...

  3. ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch

    问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里.假定需求如下: Logstash收集到的日志字段mess ...

  4. ElasticSearch实战系列六: Logstash快速入门和实战

    前言 本文主要介绍的是ELK日志系统中的Logstash快速入门和实战 ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是 ...

  5. ElasticSearch实战系列七: Logstash实战使用-图文讲解

    前言 在上一篇中我们介绍了Logstash快速入门,本文主要介绍的是ELK日志系统中的Logstash的实战使用.实战使用我打算从以下的几个场景来进行讲解. 时区问题解决方案 在我们使用logstas ...

  6. elk系列8之logstash+redis+es的架构来收集apache的日志【转】

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的,架构图如下: 解释下这个架构图的流程 首先前端log ...

  7. elk系列6之tcp模块的使用【转】

    preface tcp模块的使用场景如下: 有一台服务器A只需要收集一个日志,那么我们就可以不需要在这服务器上安装logstash,我们通过在其他logstash上启用tcp模块,监听某个端口,然后我 ...

  8. elk系列2之multiline模块的使用【转】

    preface 上回说道了elk的安装以及kibana的简单搜索语法,还有logstash的input,output的语法,但是我们在使用中发现了一个问题,我们知道,elk是每一行为一个事件,像Jav ...

  9. elk系列8之logstash+redis+es的架构来收集apache的日志

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的, 架构图如下: 解释下这个架构图的流程 首先前端lo ...

随机推荐

  1. 下拉刷新XListView的简单分析

    依照这篇博文里的思路分析和理解的 先要理解Scroller,看过的博文: http://ipjmc.iteye.com/blog/1615828 http://blog.csdn.net/wangji ...

  2. ffmpeg把ts文件转m3u8并切片

    Linux_x86_64流媒体环境:nginx + EasyDarwin-master 客户端播放器:VLC media player 下载windows下的ffmepg二进制版本,请进网站http: ...

  3. QT编译错误:member access into incomplete type 'QMouseEvent'

    想在QT程序中使用鼠标事件,添加重载的响应函数,并实现后,一直提示 member access into incomplete type 'QMouseEvent' 既然使用了QMouseEvent类 ...

  4. 让maven使用国内镜像和archetypeCatalog

    https://blog.csdn.net/zhang_red/article/details/54603530

  5. node.js--Less

    摘要: 现在已经有许多站点使用Node.js,所以在Node.js上配置Less环境也是很重要的,下面分享下如何在Node上使用Less开发,前提是你电脑上已经安装node. 安装: 只需要执行下面一 ...

  6. 几个实用的sublime text 2的快捷键

    Sublime text快捷键 Sublime text 2是一款轻量.简洁.高效.跨平台的编辑器,他适合编写javascript,html,css,php,paython等等, 作为程序员,编码效率 ...

  7. 为什么要使用JS模板引擎

    我之前在写一个输入联想控件的时候,改过好几个版本,每个版本不是因为性能不好就是因为代码凌乱而被推翻,最后用了understore模板引擎,效果有明显改善.整好这两天在研究互联网技术架构,发现很多的开发 ...

  8. mongodb 初学 索引

    连接服务器异常(Connection refused) 啦啦啦 mongodb 搭建主从服务器 啦啦啦 Mongodb启动命令mongod参数说明 啦啦啦 MongoDB 分片 啦啦啦 啦啦啦 啦啦啦 ...

  9. C#(少用的)

    挖一挖C#中那些我们不常用的东西之系列(1)——ToDictionary,ToLookup 挖一挖C#中那些我们不常用的东西之系列(2)——IsXXX 系列方法 挖一挖C#中那些我们不常用的东西之系列 ...

  10. JS有趣的单线程

    一.JS的执行特点    源于单线程的特性, JS在一段时间内只能执行一部分代码, 那么, 当有多块代码需要执行时, 就需要排队等候了.   二.单线程与异步事件 (1) 什么是异步事件?     异 ...