<pre name="code" class="html"><pre name="code" class="html"> 多项选择

有时候我们会碰上一个日志有多种可能格式的情况。这时候要写成单一正则就比较困难,或者全用 | 隔开又比较丑陋。这时候,logstash 的语法提供给我们一个有趣的解决方式。

文档中,都说明 logstash/filters/grok 插件的 match 参数应该接受的是一个 Hash 值。但是因为早期的 logstash 语法中 Hash 值也是用 [] 这种方式书写的,所以其实现在传递 Array 值给 match 参数也完全没问题。所以,我们这里其实可以传递多个正则来匹配同一个字段:

match => [

    "message", "(?<request_time>\d+(?:\.\d+)?)",

    "message", "%{SYSLOGBASE} %{DATA:message}",

    "message", "(?m)%{WORD}"

]

logstash 会按照这个定义次序依次尝试匹配,到匹配成功为止。虽说效果跟用 | 分割写个大大的正则是一样的,但是可阅读性好了很多。

 [elk@dr-mysql01 api-access]$ cat /usr/local/logstash-2.3.4/config/api-access/logstash_access.conf

input {

        file {

                type => "zj_api_access"

                path => ["/data01/applog_backup/zjzc_log/zj-api*access*"]

        }

       file {

                type => "wj_api_access"

                path => ["/data01/applog_backup/winfae_log/wj-api*access*"]

        } 

}

filter {

    grok {

        match => [

             "message" , "\s*%{IPORHOST:clientip}\s+\-\s+\-\s+\[%{HTTPDATE:time}\]\s+\"%{WORD:verb}\s+(?<api>(\S+))\?.*\s+HTTP/%{NUMBER:httpversion}\"\s+%{NUMBER:http_status_code}\s+%{NUMBER:bytes}\s+(%{BASE16FLOAT:request_time})\s+%{IPORHOST:remoteip}",

              "message" ,"\s*%{IPORHOST:clientip}\s+\-\s+\-\s+\[%{HTTPDATE:time}\]\s+\"%{WORD:verb}\s+(?<api>(\S+))\s+HTTP/%{NUMBER:httpversion}\"\s+%{NUMBER:http_status_code}\s+%{NUMBER:bytes}\s+(%{BASE16FLOAT:request_time})\s+%{IPORHOST:remoteip}",

             "message" ,"\s*%{IPORHOST:clientip}\s+\-\s+\-\s+\[%{HTTPDATE:time}\]\s+\"%{WORD:verb}\s+(?<api>(\S+))\s+HTTP/%{NUMBER:httpversion}\"\s+%{NUMBER:http_status_code}\s+\-\s+(%{BASE16FLOAT:request_time})\s+%{IPORHOST:remoteip}",

             "message","\s*%{IPORHOST:clientip}\s+\-\s+\-\s+\[%{HTTPDATE:time}\]\s+\"%{WORD:verb}\s+(?<api>(\S+))\s+HTTP/%{NUMBER:httpversion}\"\s+%{NUMBER:http_status_code}\s+\-\s+(%{BASE16FLOAT:request_time})\s+(%{IPORHOST:remoteip}|-)"

        ]

    }

        mutate {

                        convert => [ "request_time", "float"]

                       add_field =>["response_time","%{request_time}"]

                        remove_field =>["request_time"]

                       add_field => [ "[@metadata][zabbix_key]" , "logstash-api-access" ]

                       add_field => [ "[@metadata][zabbix_host]" , "dr-mysql01" ]

                        add_field =>["messager","%{type}-%{message}"]

                         remove_field =>["message"]

                }

   date {

        match => ["time", "dd/MMM/yyyy:HH:mm:ss Z"]

    }

}

output {

     if [response_time] >= 5  {

          zabbix {

		zabbix_host => "[@metadata][zabbix_host]"

		zabbix_key => "[@metadata][zabbix_key]"

        zabbix_server_host => "192.168.32.55"

        zabbix_server_port => "10051"

		zabbix_value => "messager"

        }

          }

     if [type] == "zj_api_access" {

        redis {

                host => "192.168.32.67"

                data_type => "list"

                key => "zj_api_access:redis"

                port=>"6379"

                password => "1234567"

        }

}

      else if [type] == "wj_api_access"{

       redis {

                host => "192.168.32.67"

                data_type => "list"

                key => "wj_api_access:redis"

                port=>"6379"

                password => "1234567"

        }

}

}


												


											
完整的多项匹配tomcat access日志的正则的更多相关文章
	

    
								
  1. tomcat access日志
		
    每次看access log都会记不住pattern里的各个标识代表的什么意思,记录下,备忘! tomcat的access log是由实现了org.apache.catalina.AccessLog接口 ...
    
		
    2. 
						
  2. Tomcat访问(access)日志配置
		
    在tomcat的access中打印出请求的情况可以帮助我们分析问题,通常比较关注的有访问IP.线程号.访问url.返回状态码.访问时间.持续时间. 最近在跟一个图片请求超时的问题,需要在项目的acce ...
    
		
    3. 
						
  3. Servlet、Tomcat访问(access)日志配置、记录Post请求参数
		
    一.运行环境: Maven:3.5.2(点击下载) ,下载页 Tomcat:8.5.29(点击下载) ,下载页 JDK:jdk1.7.0_80(点击下载) ,下载页 MavenDependency:  ...
    
		
    4. 
						
  4. spring boot打开tomcat的access日志
		
    spring boot虽说内置了tomcat,但打出来的是jar包而非war包,更没有access日志,那么如何打开access日志呢?只需在application.properties中加入相关配置 ...
    
		
    5. 
						
  5. 使用flume抓取tomcat的日志文件下沉到kafka消费
		
    Tomcat生产日志 Flume抓取日志下沉到kafka中 将写好的web项目打包成war包,eclise直接导出export,IDEA 在artifact中添加新的artifact-achieve项 ...
    
		
    6. 
						
  6. Spring Boot (16) logback和access日志
		
    Spring Boot 内部采用的是Commons Logging进行日志记录,但是在底层为Java Util Logging.Log4J2.Logback等日志框架提供了默认配置. logback  ...
    
		
    7. 
						
  7. Tomcat访问日志详细配置
		
    在server.xml里的<host>标签下加上 <Valve className="org.apache.catalina.valves.AccessLogValve&q ...
    
		
    8. 
						
  8. tomcat详细日志配置
		
    在server.xml里的<host>标签下加上<Valve className="org.apache.catalina.valves.AccessLogValve&qu ...
    
		
    9. 
						
  9. Tomcat access log配置
		
    在tomcat的access中打印出请求的情况可以帮助我们分析问题,通常比较关注的有访问IP.线程号.访问url.返回状态码.访问时间.持续时间. 在Spring boot中使用了内嵌的tomcat, ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. CONTEST45 呵呵呵呵呵
			
    题目质量差评!为什么不给数据范围! A.乘积最大3 题目:http://dev.luogu.org/problem/show?pid=2172 题解:sb题,均值定理. 代码: #include< ...
    
			
    2. 
						
  2. asp.net 中的错误跳转 customerrors 对html文件不起作用
			
    在配置web.config时发现customerrors对aspx文件是起作用的,我想通过customerrors来判断是否有html文件时,却不起作用? 这是为什么,如果要起作用.net里该如何操作 ...
    
			
    3. 
						
  3. WPF - 使用WPF创建图表
			
    最近有点想把自己的项目里面加入图表,让程序看起来高大上起来.没办法,很大一部分要靠包装,使用好图表,让程序图文并茂,就是包装的一个好法子.. WPF toolkit里面有常见的图表控件 如何使用: h ...
    
			
    4. 
						
  4. maven install 报错Could not calculate build plan: Plugin org.apache.maven.plugins:maven-resources-plugin
			
    Could not calculate build plan: Plugin org.apache.maven.plugins:maven-resources-plugin:2.6 or one of ...
    
			
    5. 
						
  5. 探讨socket引发SIGPIPE信号的问题
			
    我写socket相关的程序也不是一天两天了,在我的记忆中,只要处理好recv(或read)的返回值中<0,==0,>0三种情况,程序便不会有什么问题.但最近在看公司的源代码时,发现代码中直 ...
    
			
    6. 
						
  6. js基础例子dom+原型+oop基础知识记录01
			
    //oo:概念是计算机中对于现实世界的理解和抽象的方法 //由计算机利用编程技术发展到现在的产物 //面向对象几要素 //对象:由属性和方法组成的集合 //属性:保存数据,存储在对象内存空间中的唯一的 ...
    
			
    7. 
						
  7. 《31天成为IT服务达人》之技能篇硬件维护技能概要
			
     server维护技能 server硬件作为应用软件部署的基础平台,是基础架构中最为核心的设备.一旦server出现问题就会影响业务的正常开展.因此,server的运维管理对于企业整个IT运维管理 ...
    
			
    8. 
						
  8. sublime怎么实现函数之间的跳转
			
    1.安装ctags应用程序. 到CTags的官方站点下载最新版本号,将解压后的ctags.exe放到系统环境变量的搜索路径中.通常是C:\windows\system32. 假设你想放到其它目录中,记 ...
    
			
    9. 
						
  9. python进阶之路4.2---装饰器
			
    *:first-child { margin-top: 0 !important; } body>*:last-child { margin-bottom: 0 !important; } /* ...
    
			
    10. 
						
  10. ncsim仿真VHDL
			
    ncsim仿真VHDL 1.文件列表 ctrl.vhd design_io.vhd tb.vhd compile.nc simulate.nc ./shm/shmtb.tcl 2. Compile你的 ...
    
			
    11.