Logstash:如何逐步构建自定义 grok 模式

在之前的文章 “在摄入时使用 grok 构建 Elasticsearch 数据以加快分析速度”,我们研究了如何在摄取时构造非结构化数据(schema on write),以确保您的分析几乎实时运行。 这样的速度可以帮助将您的可观察性用例提高到一个新的水平。

在本文中,我们将基于从头开始逐步创建新的 grok 模式的基础上学习! 这意味着无论你的用例或要求如何,你都可以构造数据以提高速度。

 

调试 grok 模式

两个可用于构建和调试 grok 模式的工具是我们在本系列博客的上一部分中使用的 Simulate Pipeline API 和 Kibana 的 Grok Debugger。 此处显示的增量构造方法将可使用这两种工具之一。 在本文中,我们将使用 Grok Debugger。

 

结构化数据

对于此博客,让我们假设我们被告知编写一个 grok 模式来解析以下消息:

"55.3.244.1 GET /index.html 15824 0.043 other stuff"

我们还假设我们被告知将上述数据结构化为符合 Elastic Common Schema(ECS)的字段名称,并且获得了有关上述消息的以下信息:

  • 第一个 token 是主机 IP 地址
  • 第二个 token 是 HTTP 请求方法
  • 第三个 token 是 URI
  • 第四个 token 是请求的大小(以字节为单位)
  • 第五个 token 是事件持续时间
  • 剩下的文字只是我们不关心的其他文字

根据这些说明,对于以上消息,我们希望提取以下符合 ECS 的字段:

"host.ip": "55.3.244.1"  
"http.request.method": "GET" 
"url.original": "/index.html" 
"http.request.bytes": 15824 
"event.duration": 0.043

逐步构建新的 grok 表达式

现在,我们将从左到右逐步建立一个 grok 表达式。 让我们开始看看是否可以从信息中提取 IP 地址。 我们将使用 IP grok 模式来匹配host.ip 字段,并使用 GREEDYDATA 模式来捕获 IP 地址之后的所有内容。 如下所示:

%{IP:host.ip}%{GREEDYDATA:my_greedy_match}

让我们转到 Kibana中 的 Dev Tools,使用 Grok Debugger 来查看此 grok 模式是否能够解析消息:

它按预期工作。 正确提取了 host.ip 字段,并将消息的其余部分存储在 my_greedy_match 中。 成功!

让我们添加 grok 模式的下一部分。 我们知道这是 http.request.method 字段,它是 WORD grok 模式。 因此,我们增加了如下的 grok 模式:

%{IP:host.ip}%{WORD:http.request.method}%{GREEDYDATA:my_greedy_match}

但是,如下所示,在 Kibana 的调试器中对其进行测试将得到一个空响应。 这不是我们所期望的!

空响应的原因是模式不匹配。 这是因为消息在 host.ip(在此示例中为 55.3.244.1)和 request.method(在此示例中为 GET)之间有一个空格,但在 grok 模式中未包含空格。 让我们解决此错误,然后尝试使用以下 grok 模式。

有效! 现在,我们提取了 host.ip 和 http.request.method 字段。

 

把上面的都放在一起

我们仍然需要分析其余字段。 我们可以继续逐步添加到 grok 模式中,直到最终得到以下 grok 模式:

%{IP:host.ip} %{WORD:http.request.method} %{URIPATHPARAM:url.original} %{NUMBER:http.request.bytes:int} %{NUMBER:event.duration:double} %{GREEDYDATA:my_greedy_match}

我们可以在 Kibana 中对此进行测试,如下所示:

它按预期工作! 但是,对于此示例,我们对保留 my_greedy_match 字段不感兴趣,因此可以按如下所示从 grok 表达式中删除它:

%{IP:host.ip} %{WORD:http.request.method} %{URIPATHPARAM:url.original} %{NUMBER:http.request.bytes:int} %{NUMBER:event.duration:double} %{GREEDYDATA}

这看起来正是我们想要的样子! 现在,我们有了一个 grok 模式,可以用来构造消息字段中包含的数据。

你可以在我以前的 meetup 视频中找到更多关于 grok 用法:

Elastic Logstash 动手实践

 

实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值