Logstash-로그 구문 분석

Logstash는 입력 플러그인을 사용하여 로그를 수신 한 다음 필터 플러그인을 사용하여 데이터를 구문 분석하고 변환합니다. 로그의 구문 분석 및 변환은 출력 대상에있는 시스템에 따라 수행됩니다. Logstash는 로깅 데이터를 구문 분석하고 필수 필드 만 전달합니다. 나중에 이러한 필드는 대상 시스템의 호환 가능하고 이해할 수있는 형식으로 변환됩니다.

로그를 구문 분석하는 방법?

로그 구문 분석은 다음을 사용하여 수행됩니다. GROK (지식의 그래픽 표현) 패턴과 Github에서 찾을 수 있습니다-

https://github.com/elastic/logstash/tree/v1.4.2/patterns.

Logstash는 지정된 GROK 패턴 또는 아파치 로그에 일반적으로 사용되는 "% {COMBINEDAPACHELOG}"와 같은 로그 구문 분석을위한 패턴 시퀀스를 사용하여 로그 데이터를 일치시킵니다.

구문 분석 된 데이터는 더 구조화되고 검색 및 쿼리 수행이 쉽습니다. Logstash는 입력 로그에서 지정된 GROK 패턴을 검색하고 로그에서 일치하는 행을 추출합니다. GROK 디버거를 사용하여 GROK 패턴을 테스트 할 수 있습니다.

GROK 패턴의 구문은 % {SYNTAX : SEMANTIC}입니다. Logstash GROK 필터는 다음과 같은 형식으로 작성됩니다.

%{PATTERN:FieldName}

여기서 PATTERN은 GROK 패턴을 나타내고 fieldname은 출력에서 ​​구문 분석 된 데이터를 나타내는 필드의 이름입니다.

예를 들어 온라인 GROK 디버거 사용 https://grokdebug.herokuapp.com/

입력

로그의 샘플 오류 라인-

[Wed Dec 07 21:54:54.048805 2016] [:error] [pid 1234:tid 3456829102]
   [client 192.168.1.1:25007] JSP Notice:  Undefined index: abc in
   /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11

GROK 패턴 시퀀스

이 GROK 패턴 시퀀스는 타임 스탬프와 로그 레벨, 프로세스 ID, 트랜잭션 ID 및 오류 메시지로 구성된 로그 이벤트와 일치합니다.

\[(%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEAR})\] \[.*:%{LOGLEVEL:loglevel}\]
   \[pid %{NUMBER:pid}:tid %{NUMBER:tid}\] \[client %{IP:clientip}:.*\]
   %{GREEDYDATA:errormsg}

산출

출력은 JSON 형식입니다.

{
   "day": [
      "Wed"
   ],
   "month": [
      "Dec"
   ],
   "loglevel": [
      "error"
   ],
   "pid": [
      "1234"
   ],
   "tid": [
      "3456829102"
   ],
   "clientip": [
      "192.168.1.1"
   ],
   "errormsg": [
      "JSP Notice:  Undefined index: abc in
      /home/manu/tpworks/tutorialspoint.com/index.jsp on line 11"
   ]
}