logstash筛选器有助于将URI中的转义项更改回正常字符串
我试着用麋鹿堆栈做一些对数线分析。在日志存储端,部分过滤器配置如下:logstash筛选器有助于将URI中的转义项更改回正常字符串,logstash,Logstash,我试着用麋鹿堆栈做一些对数线分析。在日志存储端,部分过滤器配置如下: #解析Apache日志 如果[tags]中有“\u apache\u log”{ 格罗克{ 匹配=>{“消息”=>“%{COMMONAPACHELOG}” } 日期{ 匹配=>[“时间戳”,“毫米-日-时:毫米:秒”,“毫米-日-时:毫米:秒”] } 千伏{ 字段_split=>“&?” } } 我的日志行是: 172.31.8.12---/-[10/Feb/2017:03:07:30+0000]"得到/这篇文章的结束=1
#解析Apache日志
如果[tags]中有“\u apache\u log”{
格罗克{
匹配=>{“消息”=>“%{COMMONAPACHELOG}”
}
日期{
匹配=>[“时间戳”,“毫米-日-时:毫米:秒”,“毫米-日-时:毫米:秒”]
}
千伏{
字段_split=>“&?”
}
}
172.31.8.12---/-[10/Feb/2017:03:07:30+0000]"得到/这篇文章的结束=148091957年81&rt.结束=148091957年7月14年7月14月14日,这篇文章的结束=148091957年7月64&t TTTTTP=86&t(t)P P=P=P=86&t(t)P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P&t=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=P=U dns_end=1480919576472&nt_con_st=1480919576472&nt_con_end=1480919576472&nt_req_st=1480919576556&nt_resu st=1480919576557&nt_domloading=1480919576557&nt_domcontloaded=1480919576692&nt_domcontloaded_st=148091957669;&nt_domcontloaded_end=14809195766;&nt_domcontLoad=14809;&nt卸载(&nt齞unt=14809195766;&u=http%3A%2F%2Fdev-test01.london.example.ad%3A2678%2Faudit%2F&v=%25boomerang_版本%25&vis.st=visible&ua.plt=Win32&ua.vnd=http/1.0“200 5
“u”=>“http%3A%2F%2Fdev-test01.london.example.ad%3A2678%2Faudit%2F”,
“v”=>%25boomerang_版本%25”,
有什么方法可以取消这些术语吗?在阅读了一些文档后,我发现有一种简单的方法可以帮助您取消这些术语
urldecode {
all_fields => true
}