Date过滤

input {

	stdin{

		codec => plain

	}

}

filter {

	date {

		match => ["message", "yyyy-MM-dd HH:mm:ss"]

		target => "@timestamp"

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# target是覆盖写那个目标字段

# match 是匹配什么样子的

# 注意时区的时差

正在表达式grok

input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "\d\d\d\d\d\d"}

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# 输出的数据类型转换(Number目前只支持float和int):

filter {

    grok {

        match => {

            "message => "%{WORD} %{NUMBER:newdata:float} %{WORD}"

        }

    }

}



#  重写字段:

overwrite => ["message"]



input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "%{WORD:message:text} %{NUMBER:data:float}"}

		overwrite => ["message"]

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

GeoIP地址查询

filter {

    geoip {

        source => "message"

    }

}

JSON编码

filter{

    json {

        source => "message"

        target => "jsoncontent"

    }

}

key-value切分

input {

	stdin{

		codec => plain

	}

}

filter {

	kv {

		source => "message"

		include_keys => ["name","ip","level"]

		target => warnning

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

数据修改

#总格式

filter {

    mutate {

        ...

    }

}

#1、字符串处理

mudate {

    gsub => ["xxx", "yyy","zzz"] #替换xxx字段中的yyy为zzz

    split => ["xxx","yyy"] #把xxx字段按照yyy字符分割

    join => ["xxx","yyy"] #把xxx字段按照yyy组装,之前分割的东西,用yyy作为分隔符,组装到一起

    merge => ["xxx","yyy"] #合并xxx和yyy字段

    strip => ["xxx"] #去掉xxx字段的前后空格

    lowercase/uppercase => xxx #小写/大写

    rename => ["xxx","yyy"] #xxx字段的名字换成yyy

    update => ["xxx","xxx"] #更新字段,字段不存在不新建

    replace => ["xxx","yyy"] #更新字段,字段不存在则新建

}

ELK系列六:Logstash的Filter模块的更多相关文章

  1. elk系列5之syslog的模块使用【转】

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作log ...

  2. elk系列5之syslog的模块使用

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作 lo ...

  3. ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch

    问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里.假定需求如下: Logstash收集到的日志字段mess ...

  4. ElasticSearch实战系列六: Logstash快速入门和实战

    前言 本文主要介绍的是ELK日志系统中的Logstash快速入门和实战 ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是 ...

  5. ElasticSearch实战系列七: Logstash实战使用-图文讲解

    前言 在上一篇中我们介绍了Logstash快速入门,本文主要介绍的是ELK日志系统中的Logstash的实战使用.实战使用我打算从以下的几个场景来进行讲解. 时区问题解决方案 在我们使用logstas ...

  6. elk系列8之logstash+redis+es的架构来收集apache的日志【转】

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的,架构图如下: 解释下这个架构图的流程 首先前端log ...

  7. elk系列6之tcp模块的使用【转】

    preface tcp模块的使用场景如下: 有一台服务器A只需要收集一个日志,那么我们就可以不需要在这服务器上安装logstash,我们通过在其他logstash上启用tcp模块,监听某个端口,然后我 ...

  8. elk系列2之multiline模块的使用【转】

    preface 上回说道了elk的安装以及kibana的简单搜索语法,还有logstash的input,output的语法,但是我们在使用中发现了一个问题,我们知道,elk是每一行为一个事件,像Jav ...

  9. elk系列8之logstash+redis+es的架构来收集apache的日志

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的, 架构图如下: 解释下这个架构图的流程 首先前端lo ...

随机推荐

  1. Tomcat介绍 安装jdk 安装Tomcat

    Tomcat介绍 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目,由Apache.Sun和其他一些公司及个人共同开发而 ...

  2. spark LinearRegression 预测缺失字段的值

    最近在做金融科技建模的时候,字段里面很多缺少值得时候,模型对于新用户的预测会出现很大的不稳定,即PSI较大的情况. 虽然我们依据字段IV值得大小不断的在调整字段且开发新变量,但是很多IV值很大的字段直 ...

  3. 腾讯大湘网某处csrf(city.hn.qq.com)可投诉刷留言

    触发点: http://city.hn.qq.com http://city.hn.qq.com/auto/c=shop&m=bbs&id=668 POST /msgboard/mes ...

  4. OpenGL ES学习资料总结

    从今年春节后开始学习OpenGL ES,发现网上资料很有限,而且良莠不齐,所以整理了一下我学习时用到的资料和一些心得. 1. OpenGL ES1.x参考资料 把NEHE的教程移植到了Android上 ...

  5. bash: /usr/bin/npm: No such file or directory

    一个整得很烂了的Ubuntu服务器, 各种问题乱出. npm老是升不到最新版(一直显示1.4),于是我干脆删了, 结果再去装却装不上了, 如果用apt-get install npm安装, 就得到如下 ...

  6. 【Postgresql】set up

    https://www.howtoforge.com/tutorial/ubuntu-postgresql-installation/ https://linux.cn/article-6770-1. ...

  7. Windows下使用最新的JDK1.7.0_51以上版本连接Jenkins出现SecurityException

    我在slave节点上安装了jdk1.8, 当在节点上启动slave-agent的时候,报安全性限制的错误: java.lang.SecurityException: Missing required ...

  8. eclipse中开发js会卡,去掉.project中的validate即可

    注释掉 <buildCommand> <name>org.eclipse.ui.externaltools.ExternalToolBuilder</name> & ...

  9. [OpenCV] Samples 06: logistic regression

    logistic regression,这个算法只能解决简单的线性二分类,在众多的机器学习分类算法中并不出众,但它能被改进为多分类,并换了另外一个名字softmax, 这可是深度学习中响当当的分类算法 ...

  10. mongodb 初学 索引

    连接服务器异常(Connection refused) 啦啦啦 mongodb 搭建主从服务器 啦啦啦 Mongodb启动命令mongod参数说明 啦啦啦 MongoDB 分片 啦啦啦 啦啦啦 啦啦啦 ...