• filebeat 提取获取massage字段 利用pipeline grok 7.12


    嘴巴会说(情商)比技术有时候更重要!

    水平有限,希望你看完有所收获!

    背景

    1,filebeat直连Elasticsearch,需要对massage提取一些特定的字段。

    2,如果你对数据需要处理的比较多还是建议用logstash,logstash更强大一些。

    pipeline 简单介绍

    pipeline 我最开始了解的时候是使用jenkins的时候,即交付流水线。

    平时写的jenkinsfile就是用的pipeline。

    我理解的pipeline就是把你在界面上配置的自动化变成代码脚本。即Pipeline as Code。

    一、原始massage

    原始的日志内容如下,

    我需要提取:4975481caf96a734bdb300acc118b5b5

    2021-06-17 20:50:39|ERROR|4975481caf96a734bdb300acc118b5b5|1623934239.079|20003|user service error|/var/www/html/vendor/mdp/java-client/src/JavaClientResponse.php

    二、操作

    想要使用filebeat提取massage字段

    1,得先在es里面创建一个pipeline脚本。

    2,配置filebeat使用es的pipeline脚本。

    2.1 创建pipeline.json文件

    就是随便在linux目录创建一个文件。

    文件名称随便起,后期能找到就行。方便以后做更改。
    vim extract-traceid-pipeline.json
    {
      "description" : "extract-traceid-pipeline",    # 描述,可以描述一下这个pipeline的作用
      "processors" : [
        {
          "grok" :{            # grok 语法
            "field" : "message",    # 需要对你采集的信息的哪个字段进行处理。其实就是filebeat采集完一条日志之后 来执行这个处理。你可以对采集的任何字段的值进行处理
            "patterns" : ["ERROR\|%{DATA:trace_id}\|"]    # 这个就是从message信息中提取信息的语法了。
          }
        }
      ]
    }
    
    # [""] 这个是固定写法,里面的才是正则
    # 2021-06-17 20:50:39|ERROR|4975481caf96a734bdb300acc118b5b5|1623934239.079......
    # 提取4975481caf96a734bdb300acc118b5b5,可以看到这段数据之前的是ERROR|
    # 那我前面就写ERROR\| |需要转义但是es也需要转义一层,所以就是两个\
    # %{} 这个是固定的写法,就是你想要提取哪个信息然后 使你提取出来的信息成为一个字段key:value。
    # DATA 是grok的语法,内置字段类型,比如
                                   DATE:表示你提取的信息是日期
                                   NUMBER:表示为数值
                                   DATA:表示为字符串
                                   IP:表示为一个ip地址
                                   你在这标识的类型会在kibana上面把key的类型标识出来。
    # :trace_id 这个表示你给 你提取出来的信息定义一个Key的名称,比如
                                   trace_id:4975481caf96a734bdb300acc118b5b5
                                   到时候你收集到的这条日志信息里面就会多出这一个字段
                                   你在kibana就能搜索到。
                                   这个名称你随便定义就行。

    2.2 将json文件传到es

    在你json文件所在的目录执行
    curl -H "Content-Type: application/json" -XPUT 'http://192.168.31.61:9200/_ingest/pipeline/extract-traceid-pipeline' -d@extract-traceid-pipeline.json
    
    # extract-traceid-pipeline 这个名称你可以随便起,但是在filebeat配置的时候需要写这个名称
    # extract-traceid-pipeline.json 这个就是你自己的json文件

    2.3 查看pipeline脚本

    可以看到es里面有我们上传的pipeline规则了

    访问:http://192.168.31.61:9200/_ingest/pipeline,我没安装google浏览器json插件。安装一个就格式化了。

    还有就是可以用kibana的开发工具看到:

    2.4 filebeat配置

    # 编辑filebeat.yml配置文件
    
    output.elasticsearch:
      hosts: ["192.168.31.61:9200","192.168.31.62:9200","192.168.31.63:9200"]
      pipelines:                                  # pipelines 就是你下面可以放多个pipeline
        - pipeline: "extract-traceid-pipeline"    # 这个名称就是你curl put到es里面 你后面写的那个名称
          when.contains:                          # 这里是一个filebeat的配置语法,可以看看filebeat的官方文档,大致的意思就是if 条件判断
            log_topics: "php-errlogs"             # 就是当log_topics:"php-errlogs" 的时候才用这个pipeline 
            
            
       # when 就是if
       # contains 就是 包含的意思 还有其他的比如:and,or,not,equals(必须相等)

    2.5 查看数据

    可以直接查看es数据,也可以去kibana上面看。收集的数据里面就会多出一个字段。

    三、grok在线调试工具

    https://www.5axxw.com/tools/v2/grok.html

    水平有限!抱拳  抱拳  抱拳

    大家可以看我的另一篇文章,elk的,实际运用pipline:https://www.cnblogs.com/fanfanfanlichun/p/14917736.html

  • 相关阅读:
    Java 分支结构
    Java 循环结构
    Java 运算符
    Java 修饰符
    Alpha冲刺——Day 6
    Alpha冲刺——Day 5
    Alpha冲刺——Day 4
    Alpha冲刺——Day 3
    Alpha冲刺——Day 2
    Alpha冲刺——Day 1
  • 原文地址:https://www.cnblogs.com/fanfanfanlichun/p/14977166.html
Copyright © 2020-2023  润新知