文档章节

自定义filter 绕过logstash的date插件处理UTC时间

二两豆腐
 二两豆腐
发布于 2016/09/30 14:40
字数 993
阅读 1171
收藏 2

马上十一了,吾等无心工作,一心只想尽快的为祖国母亲庆生,等待之余放出来一个我解决logstash日期filter的实践。
使用logstash  @timestamp 取出来的日志格式为UTC时间,也就是说比中国的用户早了8个小时,这样导致我们在查询的时候的时候不能按照我们我们自己时间进行查询,还得做把这个时间减去8个小时。带来了很大的不便,尝试了设定时区依然无法更改这个日期,所以只能自己通过其他方式diy了。    

既然这样,采用不使用它的@timestamp的方法,那就自己新增字段,曲线救国。

nginx的日志配置格式为:

 log_format access ‘$remote_addr – $remote_user [$time_local] "$request" "$status $body_bytes_sent "$http_referer" '"$http_user_agent" $http_x_forwarded_for';


首先放出来一条常见的nginx日志记录
 

127.0.0.1 - - [30/Sep/2016:14:18:33 +0800] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:47.0) Gecko/20100101 Firefox/47.0"

看到了吧,30/Sep/2016:14:18:33 +0800  这一段就是访问的真正时间,也就是$time_local 这个字段匹配出来的,这个格式是ISO8601格式,但是我们常用的是yyyy-MM-dd格式的,nginx的日志格式又没法变更,如果想变更的话,只能修改nginx的源码,重新打包nginx安装,比较麻烦。既然这样,我们就手工的去解析这个字符串,然后组装成我们需要的格式,再进行输出出去。

首先增加三个字段,年月日均指向%{timestamp},

add_field => {"access_year" => "%{timestamp}"}
add_field => {"access_month" => "%{timestamp}"}
add_field => {"access_day" => "%{timestamp}"}


这三个字段可以在任何的filter中,但是要在grok filter下面,例如我放在了urldecode中,如下

urldecode {
        add_field => {"access_year" => "%{timestamp}"}
                add_field => {"access_month" => "%{timestamp}"}
                add_field => {"access_day" => "%{timestamp}"}
        all_fields => true
    }

然后通过定义正则表达式,分别把年月日匹配出来

mutate{
        
        gsub =>[
            "access_year","[\W\w]*/|:[\s\S]*",""
        ]
        gsub => [
             "access_month","[(\d+/)|(/\d+)]|:[\s\S]*",""   
        ]
        gsub =>[
             "access_day","/[\s\S]*|:[\s\S]*",""
            ]
    }

实际上以上正则表达式也就是字符串30/Sep/2016:14:18:33 +0800中的年月日匹配出来

匹配出年

匹配出月

匹配出日

但是这时候我们匹配出来的月份是用英文表示的而不是数字,可以通过translate来进行转换
 

translate{
        exact => true
        regex => true
        dictionary => [
            "Jan","01",
            "Feb","02",
            "Mar","03",
            "Apr","04",
            "May","05",
            "Jun","06",
            "Jul","07",
            "Aug","08",
            "Sep","09",
            "Oct","10",
            "Nov","11",
            "Dec","12"
        ]
        field => "access_month"
        destination => "access_month_temp"
    }

    最后就可以增加一个我们最终显示的字段,通过把以上临时字段进行任意的组装
 

   alter{
        add_field => {"access_date"=>"%{access_year}-%{access_month_temp}-%{access_day}"}

        remove_field=>["access_year","access_month","access_day","access_month_temp","bytes","ident","auth"]
        remove_tag=>["tags"]
    }

上述增加了一个access_date字段,这个字段出来的格式就是yyyy-MM-dd的,然后通过remove_fileld把中间的临时字段都给删除掉,这样通过logstash添加到redis或者mongodb中的access_date字段就是我们想要的格式了。这个格式可以根据我们的需求随便定义和拼装。
我使用的部分完整文件如下

input { stdin { }
        file {
                path => "/usr/local/nginx/logs/gateway_access.log"
        start_position => beginning
        }
}

filter{

     grok { #通过GROK来自动解析APACHE日志格式
         match => { "message" => "%{COMMONAPACHELOG}" }
    }
    #date{
    #   locale => "en"
    #   timezone => "Asia/Shanghai"
    #   match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
    #}
    kv {
        source => "request"
        field_split => "&?"
        value_split => "="
    }
    urldecode {
        add_field => {"access_year" => "%{timestamp}"}
                add_field => {"access_month" => "%{timestamp}"}
                add_field => {"access_day" => "%{timestamp}"}
        all_fields => true
    }
    mutate{
        
        gsub =>[
            "access_year","[\W\w]*/|:[\s\S]*",""
        ]
        gsub => [
             "access_month","[(\d+/)|(/\d+)]|:[\s\S]*",""   
        ]
        gsub =>[
             "access_day","/[\s\S]*|:[\s\S]*",""
            ]
    }
    translate{
        exact => true
        regex => true
        dictionary => [
            "Jan","01",
            "Feb","02",
            "Mar","03",
            "Apr","04",
            "May","05",
            "Jun","06",
            "Jul","07",
            "Aug","08",
            "Sep","09",
            "Oct","10",
            "Nov","11",
            "Dec","12"
        ]
        field => "access_month"
        destination => "access_month_temp"
    }
    alter{
        add_field => {"access_date"=>"%{access_year}-%{access_month_temp}-%{access_day}"}

        remove_field=>["access_year","access_month","access_day","access_month_temp","bytes","ident","auth"]
        remove_tag=>["tags"]
    }
}
output {
    stdout { codec => rubydebug }
    mongodb {
            collection => "pagelog"
            database => "statistics"
        uri => "mongodb://192.168.1.52:27017"
    }
}

 

 

© 著作权归作者所有

共有 人打赏支持
二两豆腐
粉丝 21
博文 94
码字总数 79225
作品 0
朝阳
高级程序员
私信 提问
[译]你应该了解的5个 Logstash Filter 插件

原文:5 Logstash Filter Plugins You Need to Know About 译者:neal1991 welcome to star my articles-translator , providing you advanced articles translation. Any suggestion, plea......

neal
2017/10/25
0
0
Logstash配置总结和实例

这里记录Logstash配置中注意的事项: 整个配置文件分为三部分:input,filter,output。参考这里的介绍 https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html...

shawnplaying
2016/05/05
9.5K
0
Logstash 讲解与实战应用

一、Logstash 介绍 Logstash 是一款强大的数据处理工具,它可以实现数据传输,格式处理,格式化输出,还有强大的插件功能,常用于日志处理。 官网地址:https://www.elastic.co/products/logs...

qw87112
2018/06/28
0
0
Logstash学习笔记

image 欢迎访问我的博客查看原文:http://wangnan.tech 背景 先介绍下ELK stack Elasticsearch Elasticsearch 是基于 JSON 的分布式搜索和分析引擎,专为实现水平扩展、高可用和管理便捷性而...

wanna
2017/11/03
0
0
Logstash详解之——filter模块

摘要: Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最蛋疼的一个组件,当然,也是最有作用的一个组件。Logstash三个组件的第二个组件,也是真个Logstash工具中最复杂,最...

qianghong000
2018/08/10
0
0

没有更多内容

加载失败,请刷新页面

加载更多

自定义线程池

自定义线程工厂: public class CustomThreadFactory implements ThreadFactory { private static final Logger LOGGER = LoggerFactory.getLogger(CustomThreadFactory.class); pu......

hensemlee
12分钟前
1
0
【剑指offer纪念版】-- 面试题目录

2.实现Singleton模式 3.二维数组中的查找 4.替换空格 5.从尾到头打印链表 6.重建二叉树 7.用两个栈实现队列 8.旋转数组的最小数字 9.斐波那契数列 10.二进制中1的个数 11.数值的整数次方 12...

细节探索者
25分钟前
1
0
记一次oom内核优化记录:vm.lower_zone_protection

情景 最近gitlab服务会偶发性500,当前机器部署了gitlab、nfs等服务,经过排查发现是nfsd引发oom,导致系统运行不畅。处理过程如下: 事故现场 开发在使用gitlab的时候发现,偶发性的出现500...

阿dai
58分钟前
4
0
Spring Batch JSON 支持

Spring Batch 4.1 开始能够支持 JSON 格式了。这个发布介绍了一个新的数据读(item reader)能够读取一个 JSON 资源,这个资源按照下面的格式: [  {    "isin": "123",    ...

honeymose
今天
0
0
浏览器缓存

HTTP缓存类型 200 from cache:直接从本地缓存获取响应,可细分为from disk cache, from memory cache 304 Not Modified:协商缓存,本地未命中发送校验数据到服务端,如果服务端数据没有改变,则读...

关元
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部