grok規(guī)則常用表達(dá)式

成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商，擁有專業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù)，十多年企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都上1000+客戶提供網(wǎng)頁設(shè)計(jì)制作,網(wǎng)站開發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷型網(wǎng)站建設(shè)，品牌網(wǎng)站制作，同時(shí)也為不同行業(yè)的客戶提供成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè)，傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選成都創(chuàng)新互聯(lián)公司。

● USERNAME 或 USER

用戶名，由數(shù)字、大小寫及特殊字符(._-)組成的字符串

比如：1234、Bob、Alex.Wong等

● EMAILLOCALPART

電子郵件用戶名部分，首位由大小寫字母組成，其他位由數(shù)字、大小寫及特殊字符(_.+-=:)組成的字符串。注意，國內(nèi)的QQ純數(shù)字郵箱賬號(hào)是無法匹配的，需要修改正則

比如：stone、Gary_Lu、abc-123等

● EMAILADDRESS

電子郵件

比如：stone@abc.com、Gary_Lu@gmail.com、abc-123@163.com等

● HTTPDUSER

Apache服務(wù)器的用戶，可以是EMAILADDRESS或USERNAME

● INT

整數(shù)，包括0和正負(fù)整數(shù)

比如：0、-123、43987等

● BASE10NUM 或 NUMBER

十進(jìn)制數(shù)字，包括整數(shù)和小數(shù)

比如：0、18、5.23等

● BASE16NUM

十六進(jìn)制數(shù)字，整數(shù)

比如：0x0045fa2d、-0x3F8709等

● BASE16FLOAT

十六進(jìn)制數(shù)字，整數(shù)和小數(shù)

● WORD

字符串，包括數(shù)字和大小寫字母

比如：String、3529345、ILoveYou等

● NOTSPACE

不帶任何空格的字符串

● SPACE

空格字符串

● QUOTEDSTRING 或 QS

帶引號(hào)的字符串

比如："This is an apple"、'What is your name?'等

● UUID

標(biāo)準(zhǔn)UUID

比如：550E8400-E29B-11D4-A716-446655440000

● MAC

MAC地址，可以是Cisco設(shè)備里的MAC地址，也可以是通用或者Windows系統(tǒng)的MAC地址

● IP

IP地址，IPv4或IPv6地址

比如：127.0.0.1、FE80:0000:0000:0000:AAAA:0000:00C2:0002等

● HOSTNAME

主機(jī)名稱

● IPORHOST

IP或者主機(jī)名稱

● HOSTPORT

主機(jī)名(IP)+端口

比如：127.0.0.1:3306、api.stozen.NET:8000等

● PATH

路徑，Unix系統(tǒng)或者Windows系統(tǒng)里的路徑格式

比如：/usr/local/nginx/sbin/nginx、c:\windows\system32\clr.exe等

● URIPROTO

URI協(xié)議

比如：http、ftp等

● URIHOST

URI主機(jī)

比如：www.stozen.Net、10.0.0.1:22等

● URIPATH

URI路徑

比如：//www.stozen.net/abc/、/api.PHP等

● URIPARAM

URI里的GET參數(shù)

比如：?a=1&b=2&c=3

● URIPATHPARAM

URI路徑+GET參數(shù)

比如：//www.stozen.net/abc/api.php?a=1&b=2&c=3

● URI

完整的URI

比如：http://www.stozen.net/abc/api.php?a=1&b=2&c=3

日期時(shí)間表達(dá)式

● MONTH

月份名稱

比如：Jan、January等

● MONTHNUM

月份數(shù)字

比如：03、9、12等

● MONTHDAY

日期數(shù)字

比如：03、9、31等

● DAY

星期幾名稱

比如：Mon、Monday等

● YEAR

年份數(shù)字

● HOUR

小時(shí)數(shù)字

● MINUTE

分鐘數(shù)字

● SECOND

秒數(shù)字

● TIME

時(shí)間

比如：00:01:23

● DATE_US

美國日期格式

比如：10-15-1982、10/15/1982等

● DATE_EU

歐洲日期格式

比如：15-10-1982、15/10/1982、15.10.1982等

● ISO8601_TIMEZONE

ISO8601時(shí)間格式

比如：+10:23、-1023等

● TIMESTAMP_ISO8601

ISO8601時(shí)間戳格式

比如：2016-07-03T00:34:06+08:00

● DATE

日期，美國日期%{DATE_US}或者歐洲日期%{DATE_EU}

● DATESTAMP

完整日期+時(shí)間

比如：07-03-2016 00:34:06

● HTTPDATE

http默認(rèn)日期格式

比如：03/Jul/2016:00:36:53 +0800

● Log表達(dá)式

LOGLEVEL

日志等級(jí)

比如：Alert、alert、ALERT、Error等

grok規(guī)則配置實(shí)例

grok規(guī)則：%{表達(dá)式:自定義名稱}，其中自定義名稱將在kibana界面中顯示，并用于過濾時(shí)使用。

下面以nginx日志規(guī)則為例，列出grok規(guī)則和nginx log format的對(duì)照表：

grok規(guī)則	Nginx log  format
%{IPORHOST:http_host} 采用IPORHOST格式，對(duì)應(yīng)IP地址	$remote_addr
-	-
-	$remote_user
\[%{HTTPDATE:timestamp}\] 采用HTTPDATE格式，[和]字符需要用\轉(zhuǎn)義	[$time_local]
\"(?:%{WORD:http_verb} %{NOTSPACE:http_request}  HTTP/%{NUMBER:http_version}\" %{NUMBER:http_status_code} (?:%{NUMBER:bytes_read}|-)) http_verb(字符串)、http_request(不帶任何空格的字符串)和http_version(數(shù)字)三個(gè)字段對(duì)應(yīng)$request，http_status_code(數(shù)字)對(duì)應(yīng)$status，bytes_read(數(shù)字)對(duì)應(yīng)$body_bytes_sent	"$request" $status $body_bytes_sent
%{QS:referrer} QS為帶引號(hào)的字符串	"$http_referer"
%{QS:agent}	"$http_user_agent"
%{QS:forwarded}	"$http_x_forwarded_for"

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：grok規(guī)則常用表達(dá)式-創(chuàng)新互聯(lián)
URL標(biāo)題：http://weahome.cn/article/dpoihs.html