我正在以json格式登录logstash,我的日志有以下字段,每个字段都是一个字符串,atts字段是字符串化的json(注意:atts每次子字段都不同)
这是一个例子:
{"name":"bob","last":"builder", "atts":"{\"a\":111, \"b\":222}"}
我想解析它是这样的:
{
"name" => "bob",
"last" => "builder"
"atss" => {
"a" => 111,
"b" => 222}
}
这是我的配置:
input { stdin { } }
filter {
json {
source => "message"
target => "parsed"
}
}
output { stdout { codec => rubydebug }}
好的,现在我明白了:
{
"@timestamp" => 2017-04-05T12:19:04.090Z,
"parsed" => {
"atss" => "{\"a\":111, \"b\":222}",
"name" => "bob",
"last" => "the builder"
},
"@version" => "1",
"host" => "0.0.0.0"
}
我怎样才能将atts字段解析为json所以我收到:
{
"@timestamp" => 2017-04-05T12:19:04.090Z,
"parsed" => {
"atss" =>
{"a" => 111,
"b" => 222},
"name" => "bob",
"last" => "the builder"
},
"@version" => "1",
"host" => "0.0.0.0"
}
din*_*ina 18
感谢@Alcanzar这就是我所做的
input {
stdin { }
}
filter {
json {
source => "message"
target => "message"
}
json {
source => "[message][atts]"
target => "[message][atts]"
}
}
output { stdout { codec => rubydebug }}
有一个json过滤器。只需将您要解析的字段和您想要的目标传递给它。
就像是:
json {
source => "[parsed][atss]"
target => "[parsed][newfield]"
}
我不确定您是否可以将 atss 作为新领域。它可能会或可能不会起作用。如果没有,请使用mutate过滤器remove_field和rename_field。
| 归档时间: |
|
| 查看次数: |
14362 次 |
| 最近记录: |