logstash自定義過(guò)濾

cat tast.conf 
input {
#在面板輸入
    stdin{}
}
filter {
    grok {
#自定義的目錄,只要目錄,就行
        patterns_dir => ["/patterns"]
#自定義對(duì)應(yīng)的 值如‘d’
        match => {
            "message" => "%{d:dong} %{c:cheng} %{j:jian}"
        }
       #overwrite => ["message"]
#如果匹配舍棄message
        remove_field => ["message"]
    }
}
output {
#在控制板輸出
    stdout{        codec => rubydebug}
}

這是自定義的文件

cat patterns/dong 
d [a-zA-Z0-9._-]+
c \d+(?:\.\d+)?
j (?<request_time>\d+(?:\.\d+)?)

還有一個(gè)時(shí)間戳的例子(很可能會(huì)用到)

cat tast2.conf 
input {
    stdin{}
}
filter {
    grok {
        match => ["message", "%{SYSLOGTIMESTAMP:logdate}"]
    }
    date {
        match => ["logdate", "dd/MMM/yyyy:HH:mm:ss"]
    }
    }

output {
    stdout{        codec => rubydebug}
}

logstash -f tast2.conf
使用一下看下效果
Apr 17 09:32:01(設(shè)置的是這樣的時(shí)間格式)


image.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容