关于Logstash中grok插件的正则表达式例子
一、前言 近期需要对Nginx产生的日志进行采集,问了下度娘,业内最著名的解决方案非ELK(Elasticsearch,Logstash,Kibana)莫属。 Logstash负责采集日志,Elasticsearch负责存储、索引日志,Kibana则负责通过Web形式展现日志。 今天,我要说的是Logstash,它可以从多种渠道采集数据,包括控制台标准输入、日志文件、队列等等,只要你能想到,都可以通过插件的方式实现。 其中,日志源提供的日志格式可能并不是我们想要插入存储介质里的格式,所以,Logstash里提供了一系列的filter来让我们转换日志。 Grok就是这些filters里最重要的一个插件,下面我就说说它。 二、Grok提供的常用Patterns说明及举例 大多数Linux使用人员都有过用正则表达式来查询机器中相关文件或文件里内容的经历,在Grok里,我们也是使用正则表达式来识别日志里的相关数据块。 有两种方式来使用正则表达式: 直接写正则来匹配 用Grok表达式映射正则来匹配 在我看来,每次重新写正则是一件很痛苦的事情,为什么不用表达式来一劳永逸呢? 特别提示:Grok表达...
