logstash 嵌套json/多层json解析配置

已于 2022-04-06 14:58:56 修改
阅读量3.1k 收藏 3
点赞数
文章标签: elk
于 2022-04-06 14:57:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a150791038/article/details/123989890
版权
博客内容讲述了在处理日志时遇到的问题,原始日志包含六层嵌套JSON,导致正则解析困难且结果文件过大。解决方案是采用JSON解析方式,通过logstash配置文件进行字段重命名、删除冗余字段并处理空值问题,确保IP和端口的有效性。
摘要由CSDN通过智能技术生成

最近解析日志时,发现日志最多有六层嵌套json,且每层json的位置也经常变换,导致正则解析经常失效,并且最终解析文件过于庞大;

最终改成json方式解析日志。

日志样例:

<150>Mar 10 13:22:57 localhost sdp-proxy@userLog[486]: {"event":{"subType":"user.l3app.access","mainType":"app","timestamp":"2022-03-10 13:22:57","level":"INFO","reason":"","result":"SUCCESS"},"actor":{"id":"12de118d-908b-11ec-8984-27a2f4932f98","domain":"local","type":"user","email":"s****i@126.com","groupPath":"/分支机构/营业部/营业部","phone":"15******805","label":"","detail":"","username":"shany"},"traceId":"1de9c96442cd65d7-17411437948","target":{"id":"fd8c80d0-7aac-11ec-9784-29e69891c97a","details":{"app":{"status":{"responseTime":114,"upstreamConnectTime":0,"upstreamHeaderTime":115,"upstreamResponseTime":115,"sendResponseTime":0,"recvBytes":588,"sendBytes":1793},"web":{"request":{"refer":"http://172.16.32.137/apps/frame/pages/genericParam.html?VIEW_ID=YGT_MY_BUSI_TRACK&noscroll=false","url":"http://172.20.32.137:80/kjdp_ajax","body":"","method":"POST","query":"services=YG003785&returnType=json","xForwardedFor":"","requestLine":"POST /kjdp_ajax?services=YG003785&returnType=json HTTP/1.1","backendUrl":"http://172.16.32.137:80/kjdp_ajax"},"response":{"contentLength":"","contentDisposition":"","attachment":"false","status":"200","redirectUri":"","server":"Tengine/2.1.0","contentType":"text/json;charset=UTF-8"}},"upstream":{"host":"172.16.32.137","port":80}}},"type":"l3app","displayName":"业务生产_综合运营平台_2.137_WEB"},"source":{"id":"E54D9B75","type":"proxy","displayName":"aTrust"},"client":{"deviceId":"0D8EEB802D07566DDC16187982EE03EC","port":"2488","ip":"60.22.24.30","virtualIp":"","mac":"70:B5:E8:22:3F:0D","userAgent":{"rawUserAgent":"Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.39 Safari/537.36","processName":"","browser":"Chrome31.0.1650.39","processPath":"","os":"Windows 8.1"},"device":"SDPBrowserClient"}}

工具解析json预览:

据统计:字段大约62个,需要提取字段12个

配置文件:

logstash.conf 

if [hostIP] == "127.0.0.1"  {

         mutate {

                replace => ["product","零"]

                replace => ["vendor","服"]

         }

       grok {

           match => [

"raw_event",'<\d+>\w+\s+\S+\s+\S+\s+\S+\s\S+\s(?<temp>.*)'

          ]

        }

json {

        source => "temp"

        remove_field => [ "temp"]

        }



 mutate {

   add_field => ["src_port","%{[client][port]}","src_ip","%{[client][ip]}","src_mac","%{[client][mac]}"]

   add_field => ["dest_ip","%{[target][details][app][upstream][host]}","dest_port","%{[target][details][app][upstream][port]}"]

   rename => ["[event][result]","result"]

   rename => ["[event][subType]","name"]

   rename => ["[actor][username]","username"]

   rename => ["[actor][domain]","dvc_domain"]

   rename => ["[actor][groupPath]","area"]

   rename => ["[target][details][app][web][response][status]","status"]

   rename => ["[event][level]","level"]

   rename => ["[target][displayName]","dest_service_name"]

   rename => ["[target][details][app][web][request][url]","url"]

   rename => ["[target][details][app][web][request][method]","http_method"]

}



 mutate {

   remove_field => ["traceId","[target]","[client]","[actor]","[event]","[source]"]

}



if [src_ip] !~ "[0-9.]+" {

   mutate {

        remove_field => ["src_ip"]

        }

        }

if [src_port] !~ "[0-9]+" {

   mutate {

        remove_field => ["src_port"]

        }

        }

if [dest_ip] !~ "[0-9.]+" {

   mutate {

        remove_field => ["dest_ip"]

        }

        }

if [dest_port] !~ "[0-9]+" {

   mutate {

        remove_field => ["dest_port"]

        }

        }



   }

配置解决问题:

1、解决字段空值(包括IP和端口)

2、字段内容变换问题

配置思路:

1、json文件整体解析

2、主字段改名、重新赋值字段

3、删除多余的字段(删除顶层嵌套,前提是主要字段已rename或者重新赋值到其他字段)

4、IP、端口空值判断

zhcha_xr
关注
Logstash解析 JSON 文件并导入到 Elasticsearch 中
Elastic 中国社区官方博客
03-05 6987
在今天的文章中,我们将详述如何使用 Logstash解析 JSON 文件的日志,并把它导入到 Elasticsearch 中。在之前的文章 “Logstash:Data转换,分析,提取,丰富及核心操作” 也有提到过,但是没有具体的例子。总体说来解析 JSON 文件的日志有两种方法: 在 file input 里使用 JSON codec 在 file input 里不使用 JSON code,但是在 filter 的部分使用 JSON filter 我们把 JSON 格式的数据解析并导入到 Elas
Logstash处理嵌套json字符串
Posin 的博客
12-17 1757
Logstash解析元数据的json字符串生成新的字段
logstash取事件(jsong或json数组消息)内容字段方式
最新发布
hh916701843的博客
07-30 118
logstash采集数据取字段属性
logstash过滤器-json插件解析多层json嵌套
theminer的博客
01-08 3013
logstash过滤器-json插件解析多层json嵌套 2019-08-26发表者 Venus 版本:logstash 6.6.2 方法:用logstash过滤器中的json插件配置选项实现 首先介绍用到的参数参数:add_field作用:添加字段 参数:%{field}作用:调用事件中的指定字段 参数:remove_field作用:删除字段 官方插件资料:JSON filter plugin | Logstash Reference [6.6] | Elastic 通过文档描述,json插.
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8736
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
logstash解析嵌套json格式数据
u011311291的博客
02-01 1万+
现有json: { "name":"zhangsan", "friends": { "friend1":"lisi", "friend2":"wangwu", "msg":["haha","yaya"] } } 将其解析为: { "name":"zhangs
logstash解析json对象
weixin_45583482的博客
03-11 3022
"fields" => { "tenant_id" => -1, "project" => "bss3", "app_name" => "ilog_default_application", "projectName" => "test", "project_id" => 561959, "messagetopic" => "logstash
logstash-template模板:logstash.json
06-14
该资源为logstash模板,在导入数据的时候,需要对数据格式进行格式化,可提前配置template模板进行覆盖,有需要可自行下载
logstash嵌套复杂json解析及扁平化处理
浪荡江湖的博客
04-28 6808
近期公司有一个需求是使用logstash将复杂的嵌套json扁平化(将原来的多层json映射成单层json,其中的key通过下划线'_'连接),并写入s3。据我以往的经验我推测应该有两种方案可行,其中方案一代码简单,但缺点很多,方案二简单高效,但网上没有现成的,我以往也没有使用过,通过google也只google到event.to_hash这个稍微有用的方法,这也是我分享的原因,望对有类似需求的朋...
双层json报文样例_Logstash如何解析多层嵌套json数据!!!
05-26
Logstash中处理多层嵌套JSON数据,可以使用JSON过滤器。具体步骤如下: 1. 在Logstash配置文件中添加JSON过滤器,...以上是一个简单的Logstash处理多层嵌套JSON数据的示例,具体实现还需要根据实际情况进行调整。
(一)logstash和beats的简单介绍
qq_37891300的博客
09-09 2439
一、logstash的一些名词介绍 Pipeline input-filter-output 的 3个阶段的处理流程。 队列管理。 插件生命周期管理。 Logstash Event 他是logstash内部流转的数据的表现形式。 原始数据在input 阶段被转换成 Event,在 output阶段 event 被转换成目标格式数据。 在配置文件中可以对 Event 中的属性进行增删改查。 ...
MySQL存储多层JSON数据的最佳实践:数据建模、索引和性能优化
多层JSON数据是指具有多个嵌套层的JSON数据,它可以表示复杂的数据结构和关系。 在MySQL中,JSON数据被存储为二进制格式,以提高存储效率和查询性能。MySQL提供了多种数据类型来存储JSON数据,包括JSON、JS
Logstash:如何使用 Logstash 解析并摄入 JSON 数据到 Elasticsearch
Elastic 中国社区官方博客
01-31 2338
详细描述如何把 JSON 格式的文件摄入到 Elasticsearch 集群中。
Logstash 解析Kong字符串删除json嵌套字段
运维打怪晋级之路
03-28 440
Logstash收集Kong的日志,有字段类型不一致导致报错
logstash解析 多层json
weixin_38073361的博客
02-06 2226
logstash解析 多层json 拿站长之家的部分json数据做介绍吧(应该不会侵权吧-_-||); { "name": "站长工具", "url": "http://tool.chinaz.com", "address": { "city": "厦门", "country": "中国" } } 期望解析成这个样子 { "...
logstash嵌套json解析及扁平化处理
weixin_42289266的博客
06-03 1549
解析的原始数据 123456|login_event|{"username":"zs","age":"18","hmm":{"likes":"eat"}}|192.168.57.116 目标格式 "userid":"123456", "event_name":"login_event", "username":"zs", "age":"18", "likes":"eat", "ipaddr":"192.168.57.116" logstash配置文件 input { file { path
Logstash 处理json格式日志文件
weixin_42315182的博客
03-13 2570
处理nginx日志输出到docker容器日志 ex: {"log":"192.168.10.20 - - [19/Jun/2018:09:08:07 +0000] \"POST /backend/web/index.php?r=products/care/assessment/quick-assessment/assessment-info HTTP/1.1\" 200 60 \"-\" \...
Logstash处理json格式日志文件的三种方法
热门推荐
很多时候,你缺少的不是知识而是热情
10-16 4万+
file { type => "voip_feedback" path => ["/usr1/data/voip_feedback.txt"] format => json sincedb_path => "/home/jfy/soft/logstash-1.4.2/voip_feedback.access" }
Logstash解析Json后并处理Json数组
f1009650563的博客
05-24 595
logstash解析json后处理json数组,并拆分为多条
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值