使用Logstash过滤插件Grok实现多模式匹配

最新推荐文章于 2025-07-04 14:45:43 发布
最新推荐文章于 2025-07-04 14:45:43 发布
阅读量2.1k 收藏 10
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 《ELKStack从入门到精通》 文章标签: 前端 javascript 服务器 elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44953658/article/details/125758749
本文介绍了如何使用Logstash的Grok过滤插件处理包含多种格式的日志数据。通过配置多个正则表达式模式,来兼容并匹配日志文件中的不同格式,确保所有可能的数据类型都能被正确解析。示例展示了针对不同日志内容的正则编写和Logstash配置,从而成功匹配不同类型的数据字段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用Logstash过滤插件Grok实现多模式匹配

一个日志文件很有可能存在多种不同数据格式的日志,tomcat的日志文件中就存在多种不同格式的日志数据。

我们需要兼容几种不同格式的日志,就需要使用到grok的多模式匹配了,针对日志数据字段的不同,配置多种格式的正则表达式,将可能出现的数据格式全部都配置一个正则模式,日式数据采集以后,首先使用第一个正则模式去匹配,不兼容则使用第二个正则去匹配,直到最终匹配到对应的内容。

grok多模式语法格式:

grok {
	mastch => [
		"message","%{IP:client_ip}",
		"message","%{IP:client_ip} %{WORD:request_type}"
	]
}

mastch从{}变成了[]
字段间的不同表达式以,进行分隔
原来的字段名称后面是=>改成,

案例:

模拟数据:"10.1.1.1 GET /subsaji/akshd/sadjhi/index 1726 0.124 521123"

192.168.223.223 GET /resource/js/iuys.png 876 1.23 xyszs 12345"

采集这两种不同内容格式的日志数据

1)首先编写正则表达式分别匹配出两个数据的字段


                

                
                
        

         

    

    
  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        


    



                



	

		

			

				
					
使用Logstash过滤插件Grok的内置正则实现日志数据格式化

				
			

			

				

					江晓龙的博客
				

				

					07-13
					
					1339
					
				

			

		

		

			
				
格式化之前的日志内容
一条nginx的日志内容,第一列是客户端IP,第二列是请求方式,第三列是请求的URL,第四列是请求的文件大小,第五列是响应时间,如果这条数据不进行格式化,我们是无法针对性的去匹配相应的日志内容,比如想统计出响应时间比较长的页面,我们就需要去筛选第五列了,但是日志不进行格式化,就无法针对第五列去做筛选。kibana上可以针对grok的表达式进行调试点击Management—>开发工具—>grok debugger1)在kibana上使用grok正则调试格式化日志数据Grok模式:数据中第

			
		

	



                

            
              



	

		

			

				
					
使用Logstash过滤插件Grok直接写正则表达式获取日志数据

				
			

			

				

					江晓龙的博客
				

				

					07-13
					
					1092
					
				

			

		

		

			
				
我们可以直接在grok的match配置中去编写正则表达式,获取对应的日志数据,通过正则表达式的分组语法来实现。语法配置格式:其中分组名就是我们将过滤出来的日志数据存储到那个字段中,相当于是字段名,re就是具体的表达式内容了。客户端IP字段(第一列)思路:IP一般都是IPV4,由4部分数字组成,每部分数字不超过3位,且每部分以进行分隔我们可以使用匹配出数字类型的内容,然后设置数字数量必须在1-3个之间,每个字段部分以进行分隔匹配,号在正则中表示任意字符,需要使用进行转移。
请求类型字段(第二列)思路:第二列是

			
		

	



              


  
              

                


	

		

			

				
					
Logstash配置详解(不断更新)

				
			

			

				

					hushukang的博客
				

				

					11-27
					
					1万+
					
				

			

		

		

			
				
1. Input Plugin
1.1 从文件输入
从文件读取数据,如常见的日志文件。文件读取通常要解决几个问题:




No.
问题
解决办法




1
文件内容如何只被读取一次?即重启Logstash时,从上次读取的位置继续
sincedb


2
如何即时读取到文件的新内容
定时检查文件是否有更新


3
如何发现新文件并进行读取
定时检查是否有新文件生成


4
如何文件发生了归档(r...

			
		

	





	

		

			

				
					
ELK: logstash gork filter 多个模式(pattern)匹配规则语法和多行日志匹配设置

				
			

			

				

					weixin_45357522的博客
				

				

					11-24
					
					2832
					
				

			

		

		

			
				
项目里用logstash分析日志,由于有多种模式(pattern)需要匹配,新版本只支持新语法。本文介绍了新的语法,并且演示了如何让一条日志包含多行。

			
		

	



		

			
		



	

		

			

				
					
日志解析神器——Logstash中的Grok过滤使用详解

					
最新发布

				
			

			

				

					犬小哈
				

				

					07-04
					
					77
					
				

			

		

		

			
				
例子:创建一个模式%{YEAR:year}-%{MONTHNUM:month}-%{MONTHDAY:day}来匹配日期格式 "2021-01-01",这个模式可以用于解析特定格式的日期数据。通过精确和高效的日志解析,Grok帮助用户提升了对日志数据的理解,加快了问题的定位和解决,从而提升了整体的运维和监控效率。如前所述,它可以解析不同格式和结构的日志,如Apache日志、系统日志、数据库日志等,将非结构化文本转换为结构化数据。每个Grok模式都是一个命名的正则表达式,用于匹配日志中的特定部分。

			
		

	





	

		

			

				
					
Logstash学习5_[logstash/patterns/grok-patterns]Logstash grok 内置正则

				
			

			

				

					wang_zhenwei的博客
				

				

					11-10
					
					3539
					
				

			

		

		

			
				
USERNAME
 [a-zA-Z0-9._-]+
USER %{USERNAME}
INT (?:[+-]?(?:[0-9]+))
BASE10NUM (?[+-]?(?:(?:[0-9]+(?:\.[0-9]+)?)|(?:\.[0-9]+)))
NUMBER (?:%{BASE10NUM})
BASE16NUM (?
BASE16FLOAT \b(?

POSINT \b(

			
		

	





	

		

			

				
					
logstash grok 多项匹配

					
热门推荐

				
			

			

				

					很长很长的专栏
				

				

					12-05
					
					2万+
					
				

			

		

		

			
				
业务场景:新版本日志需要添加字段,需要兼容新旧日志匹配版本:logstash-2.3filter {
    grok {
         match => [
            "message" , "%{DATA:hostname}\|%{DATA:tag}\|%{DATA:types}\|%{DATA:uid}\|%{GREEDYDATA:msg}",
           ...

			
		

	





	

		

			

				
					
logstashgrok的配置

				
			

			

				

					weixin_42715225的博客
				

				

					04-18
					
					1167
					
				

			

		

		

			
				
#### 前言

grok是一种采用组合多个预定义的正则表达式,用来匹配分割文本,并且映射到关键字的工具。



#### 作用

对日志数据进行预处理



#### 应用

logstash的filter模块中的grok插件



#### 示例



##### 日志文件格式

```


localhost GET /index.html 1024 0.016

```



#...

			
		

	





	

		

			

				
					
Logstash 插件 grok 使用

				
			

			

				

					mybabytao的博客
				

				

					02-22
					
					630
					
				

			

		

		

			
				
Logstash 插件 grok 使用 ,以及应用到ELKB

			
		

	





	

		

			

				
					
Logstash数据处理服务的过滤插件Grok正则匹配概念以及正则语法

				
			

			

				

					江晓龙的博客
				

				

					07-13
					
					1080
					
				

			

		

		

			
				
收集来的日志往往都是非结构的日志,当然也可以通过配置将日志输出成结构化日志,Nginx就支持将日志输出成结构化的功能,但是很多一些开源软件是不支持将日志结构化的,针对这种需求,我们就可以使用正则将日志数据输出成功格式化数据。Grok正则插件是作用通过正则表达式将非结构的日志输出成结构化的日志,便于我们在kibana上对日志数据进行筛选。使用Grok正则匹配配置之前,需要对正则表达式有一定的基础。Grok插件自带了一些内置的正则匹配模式,将常用的一些匹配表达式(获取IP、文本字符串、请求URL、数字)写入到了

			
		

	





	

		

			

				
					
轻松掌握Logstashgrok匹配

				
			

			

				

					全菜工程师小辉的博客
				

				

					03-16
					
					7731
					
				

			

		

		

			
				
Logstash的filter插件在7.5.1版本中,有多达46种。介绍filter插件的官网地址,感兴趣的话可以自行研究,点此跳转
本文主要讲解filter插件中的grok。通过在filter中使用grok,可以把日志中的关键字快速匹配出来。
grok主要有两部分:自定义正则表达式和系统预定义的模式表达式。
Grok Debugger在线匹配正则
推荐一款在线匹配正则的网站——Grok Debu...

			
		

	





	

		

			

				
					
logstash判断是否匹配_logstash grok 多项匹配

				
			

			

				

					weixin_32021363的博客
				

				

					12-30
					
					1394
					
				

			

		

		

			
				
业务场景:新版本日志需要添加字段,需要兼容新旧日志匹配值得留意的是即使你的日志是能正常匹配的,Grok还是会按照顺序许匹配送进来的日志,当碰到第一个匹配成功的日志就break掉这个循环。这就要我们自己去判断一下,怎么放是最合适的了,不然的话会一个一个往下进行尝试,毕竟是多种不同的格式。一种常用的优化方案是使用分层匹配来对这个Grok进行优化第一种:filter{grok{match=>...

			
		

	





	

		

			

				
					
Logstash系列:Grok匹配多行

				
			

			

				

					NIO4444
				

				

					06-03
					
					3795
					
				

			

		

		

			
				
Grok匹配多行,在头部加上:


(?m)^%{WORD}



			
		

	





	

		

			

				
					
logstash判断是否匹配_logstash.conf匹配案例

				
			

			

				

					weixin_39793189的博客
				

				

					12-20
					
					505
					
				

			

		

		

			
				
logstash 配置参考# ###################################################################### DESC: Logstash configuration file. Typically forwarding logs to#       Elasticsearch instance.# ##################...

			
		

	





	

		

			

				
					
Logstash系列:grok 匹配多个空格

				
			

			

				

					NIO4444
				

				

					06-03
					
					3115
					
				

			

		

		

			
				
%{SPACE}*匹配不确定数量的空


Logstash系列:grok 表达式开发调试工具、使用方法


			
		

	





	

		

			

				
					
logstash 过滤配置

				
			

			

				

					cajole_zero的博客
				

				

					02-25
					
					1511
					
				

			

		

		

			
				
#beats 不支持codec
#codec=>multiline{
#	pattern => "^\d{4}-\d{2}-\d{2}\s*\d{2}:\d{2}:\d{2}\.\d{3}"
#	negate => true
#	what => "previous"
#}

#logstash插件
#multiline {
#	pattern => "^\["
#	negate => true
#	what => "previous"
#}

数据流入配置
inp

			
		

	





	

		

			

				
					
ELK集群部署(九)之logstash过滤规则

				
			

			

				

					攻城狮JasonLong的博客
				

				

					07-02
					
					763
					
				

			

		

		

			
				
logstash过滤规则

			
		

	





	

		

			

				
					
grok正则表达式一行多个结果匹配

				
			

			

				

					听澈的程序研究所
				

				

					09-11
					
					6677
					
				

			

		

		

			
				

	原理介绍

	grok内置了一些常用正则的表达式,其在grok-pattern文件中;
		你可以自己定义一些喜欢的正则表达式,用于匹配自己需求的内容:
	
例如:中国式的时间匹配2018/9/11 9:46:32 


TIMESTAMP_CHS %{YEAR}/%{MONTHNUM}/%{MONTHDAY} %{HOUR}:%{MINUTE}:%{SECOND}

 在grok官网有相应的...

			
		

	





	

		

			

				
					
LogstashGrok 模式示例

				
			

			

				

					Elastic 中国社区官方博客
				

				

					10-10
					
					1953
					
				

			

		

		

			
				
Logstash 可以轻松解析 CSV 和 JSON 文件,因为这些格式的数据组织得很好,可以进行 Elasticsearch 分析。但是,有时我们需要处理非结构化数据,例如纯文本日志。在这些情况下,我们需要使用 Logstash Grok 或其他第 3 方服务解析数据以使其成为结构化数据。本教程将通过使用 Logstash Grok 进行解析,帮助你利用 Elasticsearch 的分析和查询功能。因此,让我们深入了解如何使用 Logstash Grok 过滤器处理非结构化数据。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
Jiangxl~

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值