elasticsearch 使用Logstash自动分析日志字段,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" /> elasticsearch 使用Logstash自动分析日志字段,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 使用Logstash自动分析日志字段

elasticsearch 使用Logstash自动分析日志字段

logstash

elasticsearch 使用Logstash自动分析日志字段,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok,假设我有这样的日志: 6月2日00:00:00 192.168.14.4日期=2016-06-01时间=23:56:05 devname=POPB-FW-01设备=FG1K2D3I14800220逻辑ID=1059028704类型=utm 子类型=应用程序控制事件类型=应用程序控制所有级别=信息vd=根 appid=40568用户=srcip=10.20.4.35 srcport=52438 srcintf=VRF-PUBLIC dstip=125.209.230.238 dstport=443

假设我有这样的日志:

6月2日00:00:00 192.168.14.4日期=2016-06-01时间=23:56:05 devname=POPB-FW-01设备=FG1K2D3I14800220逻辑ID=1059028704类型=utm 子类型=应用程序控制事件类型=应用程序控制所有级别=信息vd=根 appid=40568用户=srcip=10.20.4.35 srcport=52438 srcintf=VRF-PUBLIC dstip=125.209.230.238 dstport=443 DSTITF=OUT proto=6服务=HTTPS会话ID=424666004应用程序列表=Monitor all appcat=Web.Others app=HTTPS.BROWSER action=pass hostname=lcs.naver.com url=/msg=Web.Others:HTTPS.BROWSER, apprisk=中等

因此,通过下面的代码,我可以在未来的弹性字段中正则化时间戳和ip:

filter {
    grok {
    match => {"message" => "%{SYSLOGTIMESTAMP:timestamp} %{client}" }
    }
}
现在,如何自动获取日志其余部分的字段?有没有一个简单的方法可以说:

=前面的是字段名,后面的是值

因此,我可以获得一个JSON for elastic index,每个日志行有许多字段:

{

}

提前谢谢

好吧,我真的很笨

这很容易,而不是在谷歌上搜索,如何匹配等于,我只需要搜索与logstash匹配的键值

所以我只需要写:

filter {
   kv {
   }
}
完成了

对不起

filter {
   kv {
   }
}