匹配字段

%{TIMESTAMP_ISO8601:log_timestamp} (%{WORD:s-sitename}|-) (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) %{NOTSPACE:cs-referer} (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} %{NOTSPACE:cs-host} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-bytes}|-) (%{NUMBER:cs-bytes}|-) (%{NUMBER:time-taken}|-)

filter 规则1.0

if [type] =~ "winlog-" {

    #删除iis日志中以#号开头的文件

    if [message] =~ "^#" {

     drop {}

    }

#完成匹配和拆分iislog,并删除message字段。

	grok {

		match => { "message" => "%{TIMESTAMP_ISO8601:log_timestamp} (%{WORD:s-sitename}|-) (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) %{NOTSPACE:cs-referer} (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} %{NOTSPACE:cs-host} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-bytes}|-) (%{NUMBER:cs-bytes}|-) (%{NUMBER:time-taken}|-)" }

	remove_field => ["message"]

	}

#按指定分隔符切割指定字段

	mutate {

	  split => ["cs-uri-stem", "/ApiKey/"]

	     add_field => {

			"tmpVinKey" => "%{[cs-uri-stem][1]}"

			}

	}

	mutate {

	  split => ["tmpVinKey", "/"]

	    add_field => {

		      "apikey" => "%{[tmpVinKey][0]}"

		}

	    add_field => {

		      "action_name" => "%{[tmpVinKey][1]}"

		}

	    remove_field => ["tmpVinKey"]

	}

#设置以字段访问时间的索引

	date {

             match => ["log_timestamp", "YYYY-MM-dd HH:mm:ss"]

             target => "@timestamp"

        }

       }

}

filter 规则2.0

if [type] =~ "winlog-" {

    #删除iis日志中以#号开头的文件

    if [message] =~ "^#" {

     drop {}

    }

#完成匹配和拆分iislog,并删除message字段。

#完善iis字段

	grok {

		match => { "message" => "%{TIMESTAMP_ISO8601:log_timestamp} (%{WORD:s-sitename}|-) (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) %{NOTSPACE:cs-referer} (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} %{NOTSPACE:cs-host} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-substatus}|-) (%{NUMBER:sc-win32-status}|-) (%{NUMBER:sc-bytes}|-) (%{NUMBER:cs-bytes}|-) (%{NUMBER:time-taken}|-)" }

	remove_field => ["message"]

	}

	#复制field

        mutate {

	  add_field => {"request" => "%{cs-uri-stem}"}

	}

	#按指定分隔符切割指定字段

	mutate {

	  split => ["request", "/ApiKey/"]

	     add_field => {

			"tmpVinKey" => "%{[request][1]}"

			}

	}

	mutate {

	  split => ["tmpVinKey", "/"]

	    add_field => {

		      "apikey" => "%{[tmpVinKey][0]}"

		}

	    add_field => {

		      "action_name" => "%{[tmpVinKey][1]}"

		}

	    remove_field => ["tmpVinKey"]

	    remove_field => ["request"]

	}

	#设置以字段访问时间的索引

	date {

             match => ["log_timestamp", "YYYY-MM-dd HH:mm:ss"]

             target => "@timestamp"

        }

       }

}

filter 规则3.0以及output

if [type] =~ "winlog-" {

        if [message] =~ "^#" {

	    drop {}

	}

        mutate {

            add_field => {"line_message" => "%{message} %{offset}"}

        }

        ruby {

	    code => "

		require 'digest/md5';

		event.set('computed_id', Digest::MD5.hexdigest(event.get('line_message')))

            "

	}

	grok {

	    match => { "message" => "%{TIMESTAMP_ISO8601:log_timestamp} (%{WORD:s-sitename}|-) (%{IPORHOST:s-ip}|-) (%{WORD:cs-method}|-) %{NOTSPACE:cs-uri-stem} %{NOTSPACE:cs-uri-query} (%{NUMBER:s-port}|-) %{NOTSPACE:cs-referer} (%{IPORHOST:c-ip}|-) %{NOTSPACE:cs-useragent} %{NOTSPACE:cs-host} (%{NUMBER:sc-status}|-) (%{NUMBER:sc-substatus}|-) (%{NUMBER:sc-win32-status}|-) (%{NUMBER:sc-bytes}|-) (%{NUMBER:cs-bytes}|-) (%{NUMBER:tme-taken}|-)" }

	    remove_field => ["message","[beat][name]","[beat][version]"]

	}

        mutate {

	  add_field => {"request" => "%{cs-uri-stem}"}

	}

	mutate {

	  split => ["request", "/ApiKey/"]

	     add_field => {

			"tp" => "%{[request][1]}"

			}

	}

	mutate {

	  split => ["tp", "/"]

	    add_field => {

		      "apikey" => "%{[tp][0]}"

		}

	    add_field => {

		      "action_name" => "%{[tp][1]}"

		}

	    remove_field => ["tp"]

	    remove_field => ["request","line_message"]

	}

	date {

             match => ["log_timestamp", "YYYY-MM-dd HH:mm:ss"]

             target => "@timestamp"

	         timezone => "Etc/UTC"

        }

       }

}

elasticsearch {

      hosts => ["192.168.1.150:9200"]

      user => logstash_internal

      password => changeme

      index => "%{type}-%{+YYYY.MM.dd}"

      document_type => "%{type}"

      document_id => "%{computed_id}"

      template_overwrite => true

    }

  

logstash收集IIS日志的更多相关文章

  1. Logstash 收集 IIS 日志

    日志样例 查看 IIS 日志配置,选择格式为 W3C(默认字段设置)保存生效. 2016-02-25 01:27:04 112.74.74.124 GET /goods/list/0/1.html - ...

  2. logstash 收集 IIS 日志实践

    IIS日志示例: 2017-02-20 00:55:40 127.0.0.1 GET /MkWebAPI/swagger/ui/index - 80 - 127.0.0.1 Mozilla/5.0+( ...

  3. logstash收集syslog日志

    logstash收集syslog日志注意:生产用syslog收集日志!!! 编写logstash配置文件 #首先我用rubydebug测试数据 [root@elk-node1 conf.d]# cat ...

  4. logstash收集springboot日志

    logstash收集springboot日志 maven依赖 <dependency> <groupId>net.logstash.logback</groupId> ...

  5. logstash收集的日志输出到elasticsearch中

    logstash收集的日志输出到elasticsearch中 一.需求 二.实现步骤 1.编写pipeline文件 1.`elasticsearch`配置参数解析: 2.可能会报的一个异常 2.准备测 ...

  6. logstash收集rsyslog日志

    (1)rsyslog配置 在192.168.1.31配置 #vim /etc/rsyslog.conf *.* @@192.168.1.32:514 //所有设备名,所有日志级别都发送到192.168 ...

  7. logstash收集java日志,多行合并成一行

    使用codec的multiline插件实现多行匹配,这是一个可以将多行进行合并的插件,而且可以使用what指定将匹配到的行与前面的行合并还是和后面的行合并. 1.java日志收集测试 input { ...

  8. 构建Logstash+tomcat镜像(让logstash收集tomcat日志)

    1.首先pull logstash镜像作为父镜像(logstash的Dockerfile在最下面): 2.构建my-logstash镜像,使其在docker镜像实例化时,可以使用自定义的logstas ...

  9. Logstash收集nginx日志之使用grok过滤插件解析日志

    grok作为一个logstash的过滤插件,支持根据模式解析文本日志行,拆成字段. nginx日志的配置: log_format main '$remote_addr - $remote_user [ ...

随机推荐

  1. 剑指offer:树的子结构

    题目描述: 输入两棵二叉树A,B,判断B是不是A的子结构.(ps:我们约定空树不是任意一个树的子结构) 解题思路: 同样考虑用递归来做. 利用两个递归函数,一个用于判断两棵树树否相等,另一个递归取A的 ...

  2. 第三个Sprint冲刺第九天(燃尽图)

  3. “i词汇”宣传文案

    目录 "i词汇"微信小程序 队名 :颜罗王team 成员: 姓名 学号 杨雪莹(PM) 201521123005 林楚虹 201521123002 董美凤 201521123003 ...

  4. CI框架2.x的验证码中所遇问题解决

    用php版本是5.6,CI框架版本是2.x,在使用验证码(captcha)时,遇到一些问题. 首先,我查看框架手册,说必需的两个参数是"img_url",“img_path”,其他 ...

  5. Jfrog Maven jenkins pipeline 流水线 培训 简单实验

    1. 公司购买了一套jfrog artifactory ,然后厂商组织了一次培训 本次简单记录一下 jenkins和jfrog 二进制仓库的简单连接使用 2. 前期环境准备. scp jdk的tar包 ...

  6. charles代理以及关于其抓取https信息的操作

    一直没有写一篇关于charles的文章来记录,但是发现偶尔还是会忘记,所以还是记一下,查起来比较方便. 首先在安装了charles之后默认的本地代理地址是 127.0.0.1:8888这个地址.如果希 ...

  7. Layui_1.0.9_分页实例_Java

    一.实体 package com.ebd.application.modules.taskManage.pojo; import com.ebd.application.common.Base.Bas ...

  8. Arif in Dhaka (First Love Part 2) UVA - 10294(Polya定理)

    这题和POJ-1286一样 题意: 给出t种颜色的n颗珠子 (每种颜色的珠子个数无限制,但总数必须是n), 求能制作出项链和手镯的个数 注意手镯可以翻转和旋转  而 项练只能旋转 解析: 注意Poly ...

  9. mysql case when 判断null

    select  name,case WHEN m.NAME is null THEN '' else m.NAME end NAME1 from  sys_users

  10. 树剖模板(洛谷P3384 【模板】树链剖分)(树链剖分,树状数组,树的dfn序)

    洛谷题目传送门 仍然是一个板子. 不过蒟蒻去学了一下BIT维护区间修改区间求和,常数果真十分优秀 设数列为\(a_i\),差分数组\(d_ i=a_ i-a_ {i-1}\),前缀和\(s_i=\su ...