0
点赞
收藏
分享

微信扫一扫

logstash.conf

mjjackey 2022-01-07 阅读 80


filter {
    grok { 
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ] 
    }
  }
}
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
filter {
        grok {
                match => {
                        "message" => "<(?<precursor>\d+)>(?<create_date>\w+\s+[\d:\s]+)\s+(?<safedogserver>safedogserver)\s+(?<type>safedog)\:\s+(?<content>net)\:\s+serverId\/(?<serverId>\d+)\,localIp\/(?<localIp>[\d\.]+)\,out\/(?<out>[\d\.]+)\,in\/(?<in>[\d\.]+)\,state\/(?<state>[\d\.]+)\,total\/(?<total>[\d\.]+)\,max\/(?<max>[\d\.]+)"
                }
         }
        
        date{
           match => [ "create_date", "MMM  dd HH:mm:ss","MMM dd HH:mm:ss" ]
           target => "create_date"
        }
        
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~    
        
        %{TIMESTAMP_ISO8601:access_time}\s*%{LOGLEVEL:level}\s*%{UUID:uuid}\s*%{WORD:word}\s*%{HOSTNAME:hostname}\s*\[%{DATA:work}\]\s*(?<api>([\S+]*))\s*(?<TraceID>([\S+]*))\s*%{GREEDYDATA:message_data}
        
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2019-10-28 09:49:44:947 [http-nio-8080-exec-23] INFO  [siftLog][qewrw123ffwer2323fdsafd] - logTime:2019-10-28 
09:49:25.833-receiveTime:2019-10-28 09:49:44.044-{"area":"","frontInitTime":0,"initiatePaymentMode":"plugin_manual","network":"电信","os":"Microsoft Windows 7","payStatus":"1",
"reqs":[{"curlCode":"0","end":"2019-10-28 09:49:25.233","errorCode":"","errorDesc":"","totalTime":2153}],"settleAccountsTime":0}

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
filter{
  kv{
    source=>"message"
    field_split => " "
    value_split => ":"
  }
}
filter{
  kv{
    source=>"header"  //header字段是message里面包含的字段,此字段内容可以继续切分
    field_split => " "
    value_split => ":"
  }
}

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
evel="2" treatment="3" cmd="\"D:\Program Files (x86)\360\360safe\modules\setup.exe\" /s /smartsilence" type="sys"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
input { stdin{} }

filter{
    mutate{
    split => {"message"=>"\"\,\""}
    add_field => {
        "layer1" => "%{layers[0]}"
        "layer2" => "%{layers[1]}"
        "layer3" => "%{layers[2]}"
        "layer4" => "%{layers[3]}"
        "layer5" => "%{layers[4]}"
    }
    }
    
    mutate {
    split => {"layers" => ":"}
    add_field => {
        "layer1" => "%{layers[0]}"
        "layer2" => "%{layers[1]}"
        "layer3" => "%{layers[2]}"
        "layer4" => "%{layers[3]}"
        "layer5" => "%{layers[4]}"
    }
}
}

output {
    stdout {
      codec => rubydebug { metadata => true }
    } 
}

举报

相关推荐

0 条评论