6

我试图让 logstash 解析来自我的 ELB 日志文件的 HTTP 获取请求中的键值对。

请求字段看起来像 http://aaa.bbb/get?a=1&b=2

我希望在上面的日志行中有一个字段,ab我无法弄清楚。

我的 logstash conf(为清楚起见而格式化)在下面,它不会加载任何其他关键字段。我假设我需要拆分 URI 的地址部分,但还没有弄清楚。

input {
    file {
        path => "/home/ubuntu/logs/**/*.log"
        type => "elb"
        start_position => "beginning"
        sincedb_path => "log_sincedb"
    }
}
filter {
    if [type] == "elb" {
        grok {
            match => [ "message", "%{TIMESTAMP_ISO8601:timestamp} 
%{NOTSPACE:loadbalancer} %{IP:client_ip}:%{NUMBER:client_port:int}
%{IP:backend_ip}:%{NUMBER:backend_port:int} 
%{NUMBER:request_processing_time:float}
%{NUMBER:backend_processing_time:float} 
%{NUMBER:response_processing_time:float} 
%{NUMBER:elb_status_code:int}
%{NUMBER:backend_status_code:int} 
%{NUMBER:received_bytes:int} %{NUMBER:sent_bytes:int} 
%{QS:request}" ]
        }
        date {
            match => [ "timestamp", "ISO8601" ]
        }
        kv {
            field_split => "&?"
            source => "request"
            exclude_keys => ["callback"]
        }
    }
}


output {
    elasticsearch { host => localhost }
}
4

1 回答 1

10

kv将获取一个 URL 并拆分参数。此配置有效:

input {
    stdin { }
}

filter {
    mutate {
            add_field => { "request" => "http://aaa.bbb/get?a=1&b=2" }
    }

    kv {
            field_split => "&?"
            source => "request"
    }
}

output {
    stdout {
            codec => rubydebug
    }
}

标准输出显示:

{
   "request" => "http://aaa.bbb/get?a=1&b=2",
         "a" => "1",
         "b" => "2"
}

也就是说,我鼓励您创建自己的默认 URI 模式版本,以便它们设置字段。然后,您可以将查询字符串字段传递给 kv。这样更干净。

更新:

对于“制作自己的模式”,我的意思是采用现有的模式并根据需要进行修改。在 logstash 1.4 中,安装它们就像将它们放在“patterns”目录的新文件中一样简单;我还不知道 >1.4 的模式。

MY_URIPATHPARAM %{URIPATH}(?:%{URIPARAM:myuriparams})?
MY_URI %{URIPROTO}://(?:%{USER}(?::[^@]*)?@)?(?:%{URIHOST})?(?:%{MY_URIPATHPARAM})?

然后您可以在 grok{} 模式中使用 MY_URI,它会创建一个名为 myuriparams 的字段,您可以将其提供给 kv{}。

于 2015-08-06T19:53:01.713 回答