Date过滤

input {

	stdin{

		codec => plain

	}

}

filter {

	date {

		match => ["message", "yyyy-MM-dd HH:mm:ss"]

		target => "@timestamp"

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# target是覆盖写那个目标字段

# match 是匹配什么样子的

# 注意时区的时差

正在表达式grok

input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "\d\d\d\d\d\d"}

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}



# 输出的数据类型转换(Number目前只支持float和int):

filter {

    grok {

        match => {

            "message => "%{WORD} %{NUMBER:newdata:float} %{WORD}"

        }

    }

}



#  重写字段:

overwrite => ["message"]



input {

	stdin{

		codec => plain

	}

}

filter {

	grok {

		match => {"message" => "%{WORD:message:text} %{NUMBER:data:float}"}

		overwrite => ["message"]

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

GeoIP地址查询

filter {

    geoip {

        source => "message"

    }

}

JSON编码

filter{

    json {

        source => "message"

        target => "jsoncontent"

    }

}

key-value切分

input {

	stdin{

		codec => plain

	}

}

filter {

	kv {

		source => "message"

		include_keys => ["name","ip","level"]

		target => warnning

	}

}

output{

	stdout{

		codec => rubydebug{

		}

	}

}

数据修改

#总格式

filter {

    mutate {

        ...

    }

}

#1、字符串处理

mudate {

    gsub => ["xxx", "yyy","zzz"] #替换xxx字段中的yyy为zzz

    split => ["xxx","yyy"] #把xxx字段按照yyy字符分割

    join => ["xxx","yyy"] #把xxx字段按照yyy组装,之前分割的东西,用yyy作为分隔符,组装到一起

    merge => ["xxx","yyy"] #合并xxx和yyy字段

    strip => ["xxx"] #去掉xxx字段的前后空格

    lowercase/uppercase => xxx #小写/大写

    rename => ["xxx","yyy"] #xxx字段的名字换成yyy

    update => ["xxx","xxx"] #更新字段,字段不存在不新建

    replace => ["xxx","yyy"] #更新字段,字段不存在则新建

}

ELK系列六:Logstash的Filter模块的更多相关文章

  1. elk系列5之syslog的模块使用【转】

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作log ...

  2. elk系列5之syslog的模块使用

    preface rsyslog是CentOs系统自带的的一个日志工具,那么我们就配置logstash来接受rsyslog的日志. logstash的syslog模块 linux-node2上操作 lo ...

  3. ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch

    问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里.假定需求如下: Logstash收集到的日志字段mess ...

  4. ElasticSearch实战系列六: Logstash快速入门和实战

    前言 本文主要介绍的是ELK日志系统中的Logstash快速入门和实战 ELK介绍 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是 ...

  5. ElasticSearch实战系列七: Logstash实战使用-图文讲解

    前言 在上一篇中我们介绍了Logstash快速入门,本文主要介绍的是ELK日志系统中的Logstash的实战使用.实战使用我打算从以下的几个场景来进行讲解. 时区问题解决方案 在我们使用logstas ...

  6. elk系列8之logstash+redis+es的架构来收集apache的日志【转】

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的,架构图如下: 解释下这个架构图的流程 首先前端log ...

  7. elk系列6之tcp模块的使用【转】

    preface tcp模块的使用场景如下: 有一台服务器A只需要收集一个日志,那么我们就可以不需要在这服务器上安装logstash,我们通过在其他logstash上启用tcp模块,监听某个端口,然后我 ...

  8. elk系列2之multiline模块的使用【转】

    preface 上回说道了elk的安装以及kibana的简单搜索语法,还有logstash的input,output的语法,但是我们在使用中发现了一个问题,我们知道,elk是每一行为一个事件,像Jav ...

  9. elk系列8之logstash+redis+es的架构来收集apache的日志

    preface logstash--> redis --> logstash --> es这套架构在讲究松耦合关系里面是最简单的, 架构图如下: 解释下这个架构图的流程 首先前端lo ...

随机推荐

  1. dpkg: error processing package libraspberrypi-doc (--configure): package is in a very bad inconsistent state;

    dpkg: error processing package libraspberrypi-doc (--configure): package is in a very bad inconsiste ...

  2. 如何获取模拟器安装的app的位置

    你可以死记下地址格式, 但是一旦不同的xcode和模拟器版本改变变了地址, 又得记, 从活动管理器里其实是可以直接查看的: Launch the app in the simulator Open A ...

  3. 【git】git pull

    http://www.01happy.com/git-resolve-conflicts/

  4. BarTender个别条码的前缀知识讲解

    BarTender条码前缀可以强制其根据您选择的行业标准(如 GS1 或 AIM)向条形码的开头添加一个或多个字符.支持的符号体系仅包括2D-Pharmacode.Data Matri.GS1 Dat ...

  5. Ubuntu下用matplotlib作图时显示中文

    之前在Ubuntu下用matplotlib作图的时候发现无法正常显示中文,查了一番以后发现是Ubuntu系统和matplotlib库没有共同可显示的中文字体库的原因.用此文章的方法可以解决这一问题. ...

  6. zookeeper安装和dubbo-admin使用

    简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件.它是一个为分布式应用提供一致性服务的软件,提 ...

  7. 通过phoenix在hbase上创建二级索引,Secondary Indexing

    环境描述: 操作系统版本:CentOS release 6.5 (Final) 内核版本:2.6.32-431.el6.x86_64 phoenix版本:phoenix-4.10.0 hbase版本: ...

  8. [Scikit-learn] 1.1 Generalized Linear Models - Lasso Regression

    Ref: http://blog.csdn.net/daunxx/article/details/51596877 Ref: https://www.youtube.com/watch?v=ipb2M ...

  9. Dubbo -- 系统学习 笔记 -- 示例 -- 多版本

    Dubbo -- 系统学习 笔记 -- 目录 示例 想完整的运行起来,请参见:快速启动,这里只列出各种场景的配置方式 多版本 当一个接口实现,出现不兼容升级时,可以用版本号过渡,版本号不同的服务相互间 ...

  10. ios开发之--条用第三方地图路线导航

    项目里面有位置功能,需要有导航,导航两种实现方式 (集成第三方SDK.URL跳转第三方应用) ,直接集成就不说,下面来说下通过url跳转, 最终效果如如下: 如果手机上安装的有客户端就展示,没有就不展 ...