溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

grok規(guī)則常用表達(dá)式

發(fā)布時(shí)間:2020-08-02 21:01:27 來(lái)源:網(wǎng)絡(luò) 閱讀:5016 作者:老書(shū)生 欄目:建站服務(wù)器


grok規(guī)則常用表達(dá)式


● USERNAME 或 USER

用戶名,由數(shù)字、大小寫及特殊字符(._-)組成的字符串

比如:1234、Bob、Alex.Wong等

● EMAILLOCALPART

電子郵件用戶名部分,首位由大小寫字母組成,其他位由數(shù)字、大小寫及特殊字符(_.+-=:)組成的字符串。注意,國(guó)內(nèi)的QQ純數(shù)字郵箱賬號(hào)是無(wú)法匹配的,需要修改正則

比如:stone、Gary_Lu、abc-123等

● EMAILADDRESS

電子郵件

比如:stone@abc.com、Gary_Lu@gmail.com、abc-123@163.com等

● HTTPDUSER

Apache服務(wù)器的用戶,可以是EMAILADDRESS或USERNAME

● INT

整數(shù),包括0和正負(fù)整數(shù)

比如:0、-123、43987等

● BASE10NUM 或 NUMBER

十進(jìn)制數(shù)字,包括整數(shù)和小數(shù)

比如:0、18、5.23等

● BASE16NUM

十六進(jìn)制數(shù)字,整數(shù)

比如:0x0045fa2d、-0x3F8709等

● BASE16FLOAT

十六進(jìn)制數(shù)字,整數(shù)和小數(shù)

● WORD

字符串,包括數(shù)字和大小寫字母

比如:String、3529345、ILoveYou等

● NOTSPACE

不帶任何空格的字符串

● SPACE

空格字符串

● QUOTEDSTRING 或 QS

帶引號(hào)的字符串

比如:"This is an apple"、'What is your name?'等

● UUID

標(biāo)準(zhǔn)UUID

比如:550E8400-E29B-11D4-A716-446655440000

● MAC

MAC地址,可以是Cisco設(shè)備里的MAC地址,也可以是通用或者Windows系統(tǒng)的MAC地址

● IP

IP地址,IPv4或IPv6地址

比如:127.0.0.1、FE80:0000:0000:0000:AAAA:0000:00C2:0002等

● HOSTNAME

主機(jī)名稱

● IPORHOST

IP或者主機(jī)名稱

● HOSTPORT

主機(jī)名(IP)+端口

比如:127.0.0.1:3306、api.stozen.NET:8000等

● PATH

路徑,Unix系統(tǒng)或者Windows系統(tǒng)里的路徑格式

比如:/usr/local/nginx/sbin/nginx、c:\windows\system32\clr.exe等

● URIPROTO

URI協(xié)議

比如:http、ftp等

● URIHOST

URI主機(jī)

比如:www.stozen.Net、10.0.0.1:22等

● URIPATH

URI路徑

比如://www.stozen.net/abc/、/api.PHP等

● URIPARAM

URI里的GET參數(shù)

比如:?a=1&b=2&c=3

● URIPATHPARAM

URI路徑+GET參數(shù)

比如://www.stozen.net/abc/api.php?a=1&b=2&c=3

● URI

完整的URI

比如:http://www.stozen.net/abc/api.php?a=1&b=2&c=3

日期時(shí)間表達(dá)式

● MONTH

月份名稱

比如:Jan、January等

● MONTHNUM

月份數(shù)字

比如:03、9、12等

● MONTHDAY

日期數(shù)字

比如:03、9、31等

● DAY

星期幾名稱

比如:Mon、Monday等

● YEAR

年份數(shù)字

● HOUR

小時(shí)數(shù)字

● MINUTE

分鐘數(shù)字

● SECOND

秒數(shù)字

● TIME

時(shí)間

比如:00:01:23

● DATE_US

美國(guó)日期格式

比如:10-15-1982、10/15/1982等

● DATE_EU

歐洲日期格式

比如:15-10-1982、15/10/1982、15.10.1982等

● ISO8601_TIMEZONE

ISO8601時(shí)間格式

比如:+10:23、-1023等

● TIMESTAMP_ISO8601

ISO8601時(shí)間戳格式

比如:2016-07-03T00:34:06+08:00

● DATE

日期,美國(guó)日期%{DATE_US}或者歐洲日期%{DATE_EU}

● DATESTAMP

完整日期+時(shí)間

比如:07-03-2016 00:34:06

● HTTPDATE

http默認(rèn)日期格式

比如:03/Jul/2016:00:36:53 +0800

● Log表達(dá)式

LOGLEVEL

日志等級(jí)

比如:Alert、alert、ALERT、Error等


grok規(guī)則配置實(shí)例


grok規(guī)則:%{表達(dá)式:自定義名稱},其中自定義名稱將在kibana界面中顯示,并用于過(guò)濾時(shí)使用。

下面以nginx日志規(guī)則為例,列出grok規(guī)則和nginx log format的對(duì)照表:


grok規(guī)則

Nginx log  format

%{IPORHOST:http_host}

采用IPORHOST格式,對(duì)應(yīng)IP地址

$remote_addr

-

-

-

$remote_user

\[%{HTTPDATE:timestamp}\]

采用HTTPDATE格式,[]字符需要用\轉(zhuǎn)義

[$time_local]

\"(?:%{WORD:http_verb} %{NOTSPACE:http_request}  HTTP/%{NUMBER:http_version}\"

%{NUMBER:http_status_code} (?:%{NUMBER:bytes_read}|-))

http_verb(字符串)、http_request(不帶任何空格的字符串)http_version(數(shù)字)三個(gè)字段對(duì)應(yīng)$request,http_status_code(數(shù)字)對(duì)應(yīng)$status,bytes_read(數(shù)字)對(duì)應(yīng)$body_bytes_sent

"$request" $status

$body_bytes_sent

%{QS:referrer}

QS為帶引號(hào)的字符串

"$http_referer"

%{QS:agent}

"$http_user_agent"

%{QS:forwarded}

"$http_x_forwarded_for"


向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI