Interpretación china del filtro Logstash

grok puede analizar texto arbitrario y estructurarlo.

Esta herramienta será particularmente útil para syslog, apache u otros servidores web o mysql y otras cosas diversas =- =. Además, el formato del registro es solo para hacer que la visualización de los datos sea más humana y no aumentará el consumo de cálculo.

Logstash tiene 120 patrones de coincidencia predeterminados para diferentes idiomas (en realidad, es fácil ver que son expresiones regulares. También puedes escribir tus propias expresiones y enviar una solicitud de extracción).

Grok implementa el formato haciendo coincidir las etiquetas de texto con el contenido del registro.

Formato: {SYNTAX: SEMANTIC}

SYNTAX es el nombre de la etiqueta y SEMANTIC es la variable de almacenamiento de los datos obtenidos mediante el mapeo de etiquetas.

Por defecto, el tipo de almacenamiento de todos los campos es String, si desea otros tipos de almacenamiento

{NUMBER: num:int} usar esta coincidencia producirá un campo de tipo int

Puede usar esto directamente para personalizar un patrón regular y almacenar los datos en field_name.

También puede escribir un archivo para personalizar un patrón

El más utilizado uno es el campo de mensaje

}

Si desea formatear el mismo campo varias veces

Entre ellos, "Duración: " es una coincidencia normal. que coincide directamente con el carácter correspondiente, { } es la etiqueta coincidente de grok, la primera es regular y la segunda es campo

Sí, cada filtro puede agregar esto

Vale la pena señalar que el uso de ciertas etiquetas requiere que el filtro funcione correctamente. Si tu etiqueta no tiene ningún efecto, recuerda revisar el cuerpo del filtrado anterior (algunas etiquetas deben serlo). filtrado antes Solo funciona bajo ciertas circunstancias)

El propósito de este filtro es agregar los datos de múltiples mensajes en un solo mensaje. El campo "código" se puede proporcionar para personalizar el aumento o disminución del int. atributo y luego lanzarlo a un determinado Ir a un mensaje final y luego ingresar al proceso de salida.

Sin embargo, para utilizar este filtro, debe establecer el parámetro del filtro Logstash en 1 (indicador -w 1) para que el filtro pueda funcionar correctamente. De lo contrario, el cabello se caerá.

En términos generales, es un filtro muy confuso. Intente completar la agregación de mensajes en la fuente o usar este filtro es extremadamente problemático.

Negarse a traducir esto = =

Documento en inglés

Filtro de deformación (?). Le permite realizar cambios generales en los campos. Puede cambiar el nombre, eliminar, reemplazar y modificar los parámetros en el mensaje recibido.

Si lee atentamente lo anterior, encontrará que grok también proporciona la función de eliminar campos. De hecho, bastantes filtros proporcionan muchas funciones repetidas, pero creo que llamar a los filtros correspondientes para diferentes operaciones hará que la configuración sea concisa y clara.

Existen algunas reglas de conversión que involucran Verdadero Falso. Para obtener más información, haga clic en el enlace del documento en inglés debajo del título. (Sí, compruébalo tú mismo hhhh)

Encontrarás que hay dos barras invertidas, lo cual es correcto. Debes agregar barras invertidas a todas las barras invertidas en la expresión regular. . . Sé que esto es un poco complicado hhh.

El hash también se puede fusionar

De todos modos, puedes reproducirlo tú mismo=.

=

El filtro de fecha es un filtro que se utiliza para analizar el formato de fecha y utilizar la fecha analizada como marca de tiempo de logstash.

Castaño

El filtro de fecha es un filtro muy importante para ordenar mensajes y rellenar datos antiguos. Si no indica la hora correctamente en sus mensajes, es probable que las búsquedas posteriores se desordenen.

Si no hay filtro y no se establece ninguna marca de tiempo en la hora, logstash establecerá la marca de tiempo de acuerdo con la hora en que obtiene el mensaje por primera vez. Por ejemplo, al leer un mensaje de un archivo, la hora. de cada lectura se utilizará como marca de tiempo.