From 7f13f898ef6d07fd54ab7445917170e0970a04e2 Mon Sep 17 00:00:00 2001
From: diandian <xingdianvip@gmail.com>
Date: Wed, 11 Oct 2023 00:35:00 +0800
Subject: [PATCH] =?UTF-8?q?=E4=B8=8A=E4=BC=A0=E6=96=87=E4=BB=B6=E8=87=B3?=
 =?UTF-8?q?=20'MD'?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 MD/Logstash-过滤.md | 56 +++++++++++++++++++++++++++++++++++++++++++++
 1 file changed, 56 insertions(+)
 create mode 100644 MD/Logstash-过滤.md

diff --git a/MD/Logstash-过滤.md b/MD/Logstash-过滤.md
new file mode 100644
index 0000000..5441a67
--- /dev/null
+++ b/MD/Logstash-过滤.md
@@ -0,0 +1,56 @@
+<h1><center>LogStash 数据过滤</center></h1>
+
+作者：行癫（盗版必究）
+
+------
+
+## 一：grok插件
+
+#### 1.简介
+
+​		grok插件有非常强大的功能，他能匹配一切数据，但是他的性能和对资源的损耗同样让人诟病
+
+​		filter的grok是目前logstash中解析非结构化日志数据最好的方式
+
+​		grok位于正则表达式之上，所以任何正则表达式在grok中都是有效的
+
+#### 2.语法格式
+
+```shell
+%{语法：语义}
+```
+
+注意：
+
+​		语法指的是匹配的模式
+
+​		例如使用NUMBER模式可以匹配出数字，IP模式则会匹配出127.0.0.1这样的IP地址
+
+#### 3.案例
+
+实验数据：Nginx的访问日志
+
+Logstash输入输出配置文件：
+
+```shell
+input {
+        stdin {
+        }
+}
+filter{
+        grok{
+                match => {"message" => "%{IP:client}"}
+        }
+}
+output {
+                stdout {
+                }
+}
+```
+
+
+
+
+
+
+