logstash 中文字段乱码问题

于 2022-04-24 10:39:54 发布
阅读量1.5k 收藏
点赞数
文章标签: elk 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a150791038/article/details/124377127
版权

logstash 中文字段乱码问题

一、出现问题环境

最近接入深信服防火墙日志,该日志字段大多为中文字段。样本如下:

<134>Dec 13 16:39:45 localhost fwlog: 日志类型:系统操作, 用户:admin(local), IP地址:172.18.11.100, 操作对象:用户注销, 操作类型:注销, 描述:admin(local) 172.18.11.100 注销成功

经测试grok日志正常解析。

用kv或者json格式解析,中文字段名出现乱码。

 

二、参考文档

网络大部分文档为字符集选择问题。但是都不适合我这个问题。

后续找到这个github问题说明,该参考文档表示,该问题存在于5.x或者6.x。

参考文档地址:https://github.com/elastic/logstash/issues/9789

三、升级版本测试

官方下载最新版本:

wget https://artifacts.elastic.co/downloads/logstash/logstash-7.16.1-linux-x86_64.tar.gz

测试效果如下:中文字段名正常显示,字段添加也正常

 

四、配置文件参考

配置1:用kv切分字段

conf配置文件1 

input {

stdin{

}

}

filter {



grok {

match => [

"message",'<\d+>(?<time>\w+\s+\S+\s+\S+)\s+\S+\s\S+(?<temp>.*)'

]

}

kv {

source => "temp"

field_split => ", "

value_split => ":"

}

mutate {

add_field => ["severity","%{操作对象}"]



}



}

output {

stdout {

codec => rubydebug

}

}

配置2: 通过字段处理json格式解析。

注:需安装json_encode插件:/bin/logstash-plugin install logstash-filter-json_encode

conf配置2 

input {

stdin{

}

}

filter {



grok {

match => [

"message",'<\d+>(?<time>\w+\s+\S+\s+\S+)\s+\S+\s\S+\s(?<temp>.*)'

]

}



json_encode {

source => "temp"

target => "temp1"

}



mutate {

gsub => ["temp1",',','","']

gsub => ["temp1",':','":"']

}

mutate {

add_field => ["temp2","{%{temp1}}"]

}



json {

source => "temp2"

}

}

output {

stdout {

codec => rubydebug

}

}

zhcha_xr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logstash读取本地日志文件中文乱码解决方案
盛夏与微风
08-29 9762
1.首先查看日志文件的字符集 [logStash@hadoop3 gamelogs]$ file game.txt game.txt: UTF-8 Unicode (with BOM) text, with CRLF line terminators 2.如果是UTF-8编码,则在LogStash配置文件设置charset为UTF-8 input{ file{ ...
hive中文字段乱码问题
u010832253的专栏
01-10 3324
建表有中文字段,有乱码,因为元数据的columns_v2表默认用的是latin1编码,有中文字段时需要对它进行修改 进入mysql中,执行 alter table columns_v2 modify column COLUMN_NAME varchar(128) character set utf8; 注释乱码一起解决了 1、然后进入数据库执行以下5条SQL语句: (1)
LogStash 输出中文乱码问题
suningcsdn的博客
05-23 3870
最近研究ELK(elasticSearch+Logstash+kabana), Logstash中对应的input为file类型文件,output为elasticsearch 有的文件中存在中文时,在kibana界面显示为乱码: 有的文件中存在中文时,在kibana界面可正常显示。 查看对应的文件的编码后,发现能正常显示的源文件为utf-8格式的。 请问下这个在logstas...
logstash采集中文乱码
weixin_34258782的博客
03-09 1734
研发反馈graylog日志显示是乱码(如下图),第一反应觉得是字符集导致的 检查系统环境字符集[root@apiVM-007 ~]# localeLANG=zh_CN.GB18030LC_CTYPE="zh_CN.GB18030"LC_NUMERIC="zh_CN.GB18030"LC_TIME="zh_CN.GB18030"LC_COLLATE="zh_CN.GB18030"LC_MONETA...
logstash+mysql+elasticsearch 中文乱码
weixin_34372728的博客
02-28 959
为什么80%的码农都做不了架构师?>>> ...
使用Log-Pilot + logstash+Elasticsearch + Kibana 收集 kubernetes 日志
qq_25934401的博客
06-24 5356
开发者在面对 Kubernetes 分布式集群下的日志需求时,常常会感到头疼,既有容器自身特性的原因,也有现有日志采集工具的桎梏,主要包括: 容器本身特性: 采集目标多:容器本身的特性导致采集目标多,需要采集容器内日志、容器 stdout。对于容器内部的文件日志采集,现在并没有一个很好的工具能够去动态发现采集。针对每种数据源都有对应的采集软件,但缺乏一站式的工具。 弹性伸缩难*:Kubernete...
logstash截取指定字符和grok的使用
热门推荐
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
logstash乱码
weixin_45195974的博客
03-09 1084
elk框架里的filebeat和logstah的时候遇到的一个小坑 在logstash的控制台上显示中文乱码。百度之后知道filebeat的input的编码要和文件的编码一致 举个例子 某个文件的编码格式 用nodepad+查看 为GB2312 我的filebeat的配置文件里 然后如果直接输出到filebeat的控制台的话可以看到正常的中文 到这里就结束了! 然后百度的教程里还有一条 就是在logstash的input里加一个codec=>plain{charset=>“GB2312
filebeat+logstash日志收集中出现的乱码问题
qq_19663899的博客
12-17 1万+
写在前面 在ELK日志收集的使用中,filebeat上传的日志出现了乱码问题,这里记录一下解决问题的过程,由于我的bug原因比较特殊但是乱码现象网上还是很普遍的,多半是一些字符集编码的问题,我也尝试了进行字符集编码的更改,但是让然没有解决,最终通过修改日志打印格式解决了乱码问题. bug描述 日志在kibana中展示出现了乱码(乱码截图已丢) 排查路线 首先检查对应服务器上的日志文件是否出现乱码...
解决前端中文字段乱码
xlshi1996的博客
12-20 1327
问题描述 前端展示后台返回中文字段乱码,显示问号。 问题定位 在后端中打日志定位到数据库传过来就是乱码 @Override public List<CoopInstPo> findTree() { List<CoopInstEntity> allCoopInst = this.getAllCoopInst(); logger.info("日志定位"); logger.info(String.valueOf(allCoopInst)); List&l
logstash安装部署手册
05-12
Logstash 是一个强大的数据收集、处理和转发工具,属于 Elastic Stack 的重要组成部分。它能够从各种数据源(如日志文件、数据库等)收集数据,然后进行过滤、转换,并将处理后的数据发送到各种目的地(如 Elastic...
logstash oss 7.10.2 arm64版本
07-27
文件名: logstash-oss-7.10.2-aarch64.rpm 这是 logstash oss 7.10.2 版本的 arm64 架构 rpm 安装文件。logstash 是一款开源的服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到您...
windows环境下nssm配置logstash为系统服务
最新发布
09-21
Windows 环境下使用 NSSM 配置 Logstash 为系统服务 在 Windows 环境下,NSSM(Non-Sucking Service Manager)是一个功能强大的服务管理工具,能够帮助我们轻松地将 Logstash 配置为系统服务。本文将指导您如何使用...
logstash-ODBC.rar
08-31
- **事件处理**:每个Logstash事件可以映射到数据库表中的行,字段映射可以根据需要进行定制。 2. **ODBC (Open Database Connectivity)**: ODBC是微软提出的一个标准,允许应用程序与各种数据库系统通信。在"**...
logstash的配置文件
07-27
例如,`grok`插件可以解析非结构化的日志数据,`date`插件可以解析时间戳,`mutate`插件用于修改字段值。配置文件中,过滤插件的格式与输入插件类似: ```ruby filter { plugin_type { option1 => "value1" ...
Logstash 配置文件 Grok 语法
王小明的专栏
09-02 2298
Logstash 配置文件 Grok 语法 Grok 是啥? Grok 是一种采用组个多个预定义的正则表达式。用来匹配分割文本,并且映射到关键字的工具。主要用来对日志数据进行预处理。Logstash 的 filter 模块中 grok 插件就是其应用。其实主要思想就是用正则的方式匹配出字段,然后映射成某个...
logstash+beatfile采集中文乱码
q5512049的博客
05-26 1318
查看logstash手册,发现可以配置,公共codec插件字符集https://www.elastic.co/guide/en/logstash/5.6/plugins-codecs-multiline.html 修改配置如下,重启logstash,发现问题并没有解决 配置filebeat.yml文件,加入以下一行 encoding: GB2312 重启filebeat,发现数据显示正常,问题解决 ...
(十):日志采集log-pilot+ELK
qq_30062125的博客
09-19 2568
集群方式安装 内部服务 3个elasticsearch 1个logstash 1个kibana N个log-pilot(每个需要采集日志的swarm节点一个) 安装log-pilot 官网参考 https://github.com/AliyunContainerService/log-pilot 启动容器 目前swarm不提供privileged权限,无法使用swarm集群创建 ...
logstash同步数据时,乱码导致数据重复插入
07-13
你好!对于logstash同步数据时出现乱码导致数据重复插入的问题,有几个可能的原因和解决方法可以尝试: 1. 字符编码问题:请确保源数据和目标数据的字符编码一致。可以尝试在logstash配置文件中设置`charset`参数来指定正确的字符编码。 2. 数据格式转换问题:检查源数据和目标数据之间的格式转换是否正确。例如,如果源数据是JSON格式,确保在logstash的配置文件中使用正确的解析器(如json解析器)来处理数据。 3. 数据清洗问题:在logstash的配置文件中,可以使用filter插件进行数据清洗和转换。例如,可以使用mutate插件的gsub选项来删除或替换原始数据中的特殊字符或乱码字符。 4. 数据去重问题:如果出现数据重复插入的情况,可以考虑在logstash的配置文件中使用`fingerprint`插件来生成一个唯一的指纹(fingerprint)值,并将其用作目标数据库中的唯一键,以避免重复插入。 希望以上方法能够帮助你解决问题!如果还有其他疑问,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值