示例:解析通用日志格式的日志
编辑示例:解析通用日志格式的日志
编辑在本示例教程中,您将使用 ingest 管道 在索引之前解析 通用日志格式 的服务器日志。开始之前,请查看 ingest 管道的 先决条件。
您要解析的日志类似于以下内容
212.87.37.154 - - [05/May/2099:16:21:15 +0000] "GET /favicon.ico HTTP/1.1" 200 3638 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
这些日志包含时间戳、IP 地址和用户代理。您希望在 Elasticsearch 中为这三个项目提供自己的字段,以便更快地进行搜索和可视化。您还想知道请求的来源。
-
在 Kibana 中,打开主菜单,然后单击 Stack Management > Ingest Pipelines。
- 单击 创建管道 > 新管道。
- 将 名称 设置为
my-pipeline
,并可选择为管道添加描述。 -
添加一个 grok 处理器 来解析日志消息
- 单击 添加处理器,然后选择 Grok 处理器类型。
-
将 字段 设置为
message
,将 模式 设置为以下 grok 模式%{IPORHOST:source.ip} %{USER:user.id} %{USER:user.name} \[%{HTTPDATE:@timestamp}\] "%{WORD:http.request.method} %{DATA:url.original} HTTP/%{NUMBER:http.version}" %{NUMBER:http.response.status_code:int} (?:-|%{NUMBER:http.response.body.bytes:int}) %{QS:http.request.referrer} %{QS:user_agent}
- 单击 添加 以保存处理器。
- 将处理器描述设置为
从 'message' 中提取字段
。
-
为时间戳、IP 地址和用户代理字段添加处理器。按如下方式配置处理器
处理器类型 字段 其他选项 描述 @timestamp
格式:
dd/MMM/yyyy:HH:mm:ss Z
将 '@timestamp' 格式化为 'dd/MMM/yyyy:HH:mm:ss Z'
source.ip
目标字段:
source.geo
为 'source.ip' 添加 'source.geo' GeoIP 数据
user_agent
从 'user_agent' 中提取字段
您的表单应类似于以下内容
四个处理器将按顺序运行
Grok > 日期 > GeoIP > 用户代理
您可以使用箭头图标重新排序处理器。或者,您可以单击 导入处理器 链接并将处理器定义为 JSON
{ "processors": [ { "grok": { "description": "Extract fields from 'message'", "field": "message", "patterns": ["%{IPORHOST:source.ip} %{USER:user.id} %{USER:user.name} \\[%{HTTPDATE:@timestamp}\\] \"%{WORD:http.request.method} %{DATA:url.original} HTTP/%{NUMBER:http.version}\" %{NUMBER:http.response.status_code:int} (?:-|%{NUMBER:http.response.body.bytes:int}) %{QS:http.request.referrer} %{QS:user_agent}"] } }, { "date": { "description": "Format '@timestamp' as 'dd/MMM/yyyy:HH:mm:ss Z'", "field": "@timestamp", "formats": [ "dd/MMM/yyyy:HH:mm:ss Z" ] } }, { "geoip": { "description": "Add 'source.geo' GeoIP data for 'source.ip'", "field": "source.ip", "target_field": "source.geo" } }, { "user_agent": { "description": "Extract fields from 'user_agent'", "field": "user_agent" } } ] }
- 要测试管道,请单击 添加文档。
-
在 文档 选项卡中,提供用于测试的示例文档
[ { "_source": { "message": "212.87.37.154 - - [05/May/2099:16:21:15 +0000] \"GET /favicon.ico HTTP/1.1\" 200 3638 \"-\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36\"" } } ]
- 单击 运行管道 并验证管道是否按预期工作。
-
如果一切正常,请关闭面板,然后单击 创建管道。
现在,您可以将日志数据索引到 数据流 中了。
-
resp = client.indices.put_index_template( name="my-data-stream-template", index_patterns=[ "my-data-stream*" ], data_stream={}, priority=500, ) print(resp)
const response = await client.indices.putIndexTemplate({ name: "my-data-stream-template", index_patterns: ["my-data-stream*"], data_stream: {}, priority: 500, }); console.log(response);
PUT _index_template/my-data-stream-template { "index_patterns": [ "my-data-stream*" ], "data_stream": { }, "priority": 500 }
-
使用您创建的管道索引文档。
resp = client.index( index="my-data-stream", pipeline="my-pipeline", document={ "message": "89.160.20.128 - - [05/May/2099:16:21:15 +0000] \"GET /favicon.ico HTTP/1.1\" 200 3638 \"-\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36\"" }, ) print(resp)
const response = await client.index({ index: "my-data-stream", pipeline: "my-pipeline", document: { message: '89.160.20.128 - - [05/May/2099:16:21:15 +0000] "GET /favicon.ico HTTP/1.1" 200 3638 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"', }, }); console.log(response);
POST my-data-stream/_doc?pipeline=my-pipeline { "message": "89.160.20.128 - - [05/May/2099:16:21:15 +0000] \"GET /favicon.ico HTTP/1.1\" 200 3638 \"-\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36\"" }
-
要验证,请搜索数据流以检索文档。以下搜索使用
filter_path
仅返回 文档源。resp = client.search( index="my-data-stream", filter_path="hits.hits._source", ) print(resp)
response = client.search( index: 'my-data-stream', filter_path: 'hits.hits._source' ) puts response
const response = await client.search({ index: "my-data-stream", filter_path: "hits.hits._source", }); console.log(response);
GET my-data-stream/_search?filter_path=hits.hits._source
API 返回
{ "hits": { "hits": [ { "_source": { "@timestamp": "2099-05-05T16:21:15.000Z", "http": { "request": { "referrer": "\"-\"", "method": "GET" }, "response": { "status_code": 200, "body": { "bytes": 3638 } }, "version": "1.1" }, "source": { "ip": "89.160.20.128", "geo": { "continent_name" : "Europe", "country_name" : "Sweden", "country_iso_code" : "SE", "city_name" : "Linköping", "region_iso_code" : "SE-E", "region_name" : "Östergötland County", "location" : { "lon" : 15.6167, "lat" : 58.4167 } } }, "message": "89.160.20.128 - - [05/May/2099:16:21:15 +0000] \"GET /favicon.ico HTTP/1.1\" 200 3638 \"-\" \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36\"", "url": { "original": "/favicon.ico" }, "user": { "name": "-", "id": "-" }, "user_agent": { "original": "\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36\"", "os": { "name": "Mac OS X", "version": "10.11.6", "full": "Mac OS X 10.11.6" }, "name": "Chrome", "device": { "name": "Mac" }, "version": "52.0.2743.116" } } } ] } }