【ELK】正则、L的Grok过滤

前言：
之前的博客中写了通过正则配置filebeat的多行文本，正则在logstash的gork中也起了至关重要的作用，下面就让我们来了解一下正则吧，今天上午看了菜鸟教程关于正则的知识点，对正则有了些许了解，通过这些了解把filebeat中的正则复制一把吧；

正则表达式(regular expression)一种文本模式，描述了一种字符串匹配的模式（pattern），可以用来检查一个串是否含有某种子串、将匹配的子串替换或者从某个串中取出符合某个条件的子串等。

Regular expression support

[xyz]匹配[]中的任意一个字符。如 ‘[abc]’ 可以匹配 “plain” 中的 ‘a’，[^xyz]正好相反
[[:alpha:]] 代表 字母，[[:^alpha:]]取反
[[:alnum:]] 代表 字母与数字字符

p{Greek}希腊字母表（Unicode字母表） P{Greek}取反
[:alnum:] 代表英文大小写字节及数字，亦即 0-9,A-Z,a-z
[:alpha:] 代表任何英文大小写字节，亦即 A-Z,a-z

[:blank:] 代表空白键与 [Tab] 按键两者
[:cntrl:] 代表键盘上面的控制按键，亦即包括 CR,LF,Tab,Del.. 等等
[:digit:] 代表数字而已，亦即 0-9

[:graph:] 除了空白字节 (空白键与 [Tab] 按键) 外的其他所有按键
[:lower:] 代表小写字节，亦即 a-z
[:print:] 代表任何可以被列印出来的字节

[:punct:] 代表标点符号 (punctuation symbol)，亦即：” ’ ? ! ; : # $…
[:upper:] 代表大写字节，亦即 A-Z
[:space:] 任何会产生空白的字节，包括空白键,[Tab],CR 等等
[:xdigit:] 代表 16 进位的数字类型，因此包括： 0-9,A-F,a-f 的数字与字节

复制过来的图片：下面有链接

中括号表达式：
普通字符在中括号内表示其本身，即，它在输入文本中匹配一次其本身。

filebeat中的正则
菜鸟教程菜鸟不菜，很好的教程
正则表达式图片就是从这里抄过来滴

logstash中的Grok过滤：

%{SYNTAX:SEMANTIC}：
    `SYNTAX`代表匹配值的类型，例如，`0.11`可以`NUMBER`类型所匹配，`10.222.22.25`可以使用`IP`匹配。

    `SEMANTIC`表示存储该值的一个变量声明，它会存储在`elasticsearch`当中方便`kibana`做字段搜索和统计
        你可以将一个`IP`定义为客户端IP地址`client_ip_address`，eg:`%{IP:client_ip_address}`
            所匹配到的值就会存储到`client_ip_address`这个字段里边，类似数据库的列名，
        也可以把event log中的数字当成数字类型存储在一个指定的变量当中，比如响应时间`http_response_time`，
日志：
    %{LOGLEVEL:level} %{WORD:logLevel}

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!