2015-09-13 2 views
3

У меня есть файл CSV, со следующими заголовками:Входные данные из CSV файла в logstash

"PacketId","MACAddress","Date","PacketLength","SourceIP","SourcePort","DestIP","DestPort" 

Я хочу, чтобы индексировать данные ElasticSearch с использованием LogStash, и не в состоянии написать фильтр для того же.

filter { 
    grok { 
     match => message => "%{IP:SourceIP}" 
    } 
    } 

выше фильтр дает хорошую экстракцию поля SourceIP, но как я пишу шаблон ГРОК, чтобы извлечь его для всех полей.

ответ

4

Пусть следующий CSV файл:

1,00-14-22-01-23-45,13/09/2015,32,128.248.1.43,9980,128.248.23.13,9880 
1,01-74-02-84-13-98,14/09/2015,64,128.248.1.94,9280,128.248.13.84,9380 

Здесь Logstash конфигурации вы должны установить:

input { 
    file { 
     path => "/path/of/your/csv/test.csv" 
     sincedb_path => "/path/of/your/csv/test.idx" 
     start_position => "beginning" 
    } 
} 

filter { 
    csv { 
     separator => "," 
     columns => ["PacketId","MACAddress","Date","PacketLength","SourceIP","SourcePort","DestIP","DestPort"] 
    } 
} 

output { 
    stdout { 
     codec => rubydebug  
    } 
} 

Вы получите в выходной результат:

{ 
     "message" => [ 
     [0] "1,00-14-22-01-23-45,13/09/2015,32,128.248.1.43,9980,128.248.23.13,9880" 
    ], 
     "@version" => "1", 
     "@timestamp" => "2015-09-14T20:11:28.976Z", 
      "host" => "MyHost.local", 
      "path" => "/path/of/your/csv/test.csv", 
     "PacketId" => "1", 
     "MACAddress" => "00-14-22-01-23-45", 
      "Date" => "13/09/2015", 
    "PacketLength" => "32", 
     "SourceIP" => "128.248.1.43", 
     "SourcePort" => "9980", 
      "DestIP" => "128.248.23.13", 
     "DestPort" => "9880" 
} 
{ 
     "message" => [ 
     [0] "1,01-74-02-84-13-98,14/09/2015,64,128.248.1.94,9280,128.248.13.84,9380" 
    ], 
     "@version" => "1", 
     "@timestamp" => "2015-09-14T20:11:28.978Z", 
      "host" => "MyHost.local", 
      "path" => "/path/of/your/csv/test.csv", 
     "PacketId" => "1", 
     "MACAddress" => "01-74-02-84-13-98", 
      "Date" => "14/09/2015", 
    "PacketLength" => "64", 
     "SourceIP" => "128.248.1.94", 
     "SourcePort" => "9280", 
      "DestIP" => "128.248.13.84", 
     "DestPort" => "9380" 
} 

С уважением, Ален

0

Вам необходимо сначала использовать CSV filter, а не grok.