logstash将json日志事件自动解析成KV字段

最新推荐文章于 2024-05-24 11:02:34 发布
最新推荐文章于 2024-05-24 11:02:34 发布
阅读量1k 收藏 2
点赞数
分类专栏: 大数据技术 文章标签: logstash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d1240673769/article/details/127458520
版权

1 问题背景

logstash在接收来自filebeat采集的mysql审计日志(json格式)时,会将整个json事件作为message字段保存。
mysql审计日志如下示例:

{"msg-type":"activity","date":"1666405413511","thread-id":"3","query-id":"6","user":"root","priv_user":"root","ip":"","host":"localhost","_os":"linux-glibc2.12","_client_name":"libmysql","_pid":"14362","_client_version":"5.7.33","_platform":"x86_64","program_name":"mysql","pid":"14362","os_user":"root","appname":"mysql","rows":"1","status":"0","cmd":"select","query":"SELECT DATABASE()"}
{"msg-type":"activity","date":"1666405427863","thread-id":"3","query-id":"42","user":"root","priv_user":"root","ip":"","host":"localhost","_os":"linux-glibc2.12","_client_name":"libmysql","_pid":"14362","_client_version":"5.7.33","_platform":"x86_64","program_name":"mysql","pid":"14362","os_user":"root","appname":"mysql","rows":"4","status":"0","cmd":"select","objects":[{"db":"mysql","name":"user","obj_type":"TABLE"}],"query":"select * from user"}

logstash接收到处理后的事件如下图:
在这里插入图片描述
其中message中的json串为所需要的的日志信息,需要将json字符串解析出来的key作为字段展出出来。

2 解决方法

在logback的配置文件中filter向可加入过滤的配置

完整配置如下:

input {
    beats {
        port => "5044"
    }
}

filter {
    if [log_type] == "mysql" {
        json {
             source => "message"
             #target => "jsoncontent"  target表示解析出来的字段保存的位置,即添加一个jsoncontent的字段,然后将json字符串解析出来的key-value作为子属性,不配置则直接将解析出来的key作为字段放在原始数据里面
             #remove_field => "message" 删除原始message字段,不配置则保留
        }

       mutate {
            remove_field =>["host","ecs","input","log","@version","tags","agent"]
        }
    }
}

output {
    if [log_type] == "mysql" {
      stdout{}
    }
}

处理后事件如下:

{
                 "ip" => "",
               "rows" => "4",
           "msg-type" => "activity",
               "date" => "1666406079312",
           "log_type" => "mysql",
                "pid" => "14362",
            "message" => "{\"msg-type\":\"activity\",\"date\":\"1666406079312\",\"thread-id\":\"3\",\"query-id\":\"43\",\"user\":\"root\",\"priv_user\":\"root\",\"ip\":\"\",\"host\":\"localhost\",\"_os\":\"linux-glibc2.12\",\"_client_name\":\"libmysql\",\"_pid\":\"14362\",\"_client_version\":\"5.7.33\",\"_platform\":\"x86_64\",\"program_name\":\"mysql\",\"pid\":\"14362\",\"os_user\":\"root\",\"appname\":\"mysql\",\"rows\":\"4\",\"status\":\"0\",\"cmd\":\"select\",\"objects\":[{\"db\":\"mysql\",\"name\":\"user\",\"obj_type\":\"TABLE\"}],\"query\":\"select * from user\"}",
            "os_user" => "root",
            "appname" => "mysql",
               "user" => "root",
       "program_name" => "mysql",
           "hostipv6" => "fe80::a36f:f066:cdb2:8743",
               "_pid" => "14362",
           "hostipv4" => "192.168.149.152",
    "_client_version" => "5.7.33",
          "thread-id" => "3",
         "@timestamp" => 2022-10-22T02:34:45.039Z,
                "cmd" => "select",
            "objects" => [
        [0] {
            "obj_type" => "TABLE",
                  "db" => "mysql",
                "name" => "user"
        }
    ],
       "_client_name" => "libmysql",
             "status" => "0",
          "_platform" => "x86_64",
          "priv_user" => "root",
           "query-id" => "43",
              "query" => "select * from user",
                "_os" => "linux-glibc2.12"
}
Jepson2017
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
logstash+grok+json+elasticsearch解析复杂日志数据(一)
cuixuange的博客
11-25 2万+
这几天学习了logstash写配置文件conf解析包含部分json数据格式的日志数据,并在elasticsearch以及kibana进行直观的数据浏览。对于logstash有了更加深入的了解,logstash在运维方面是开源的日志收集框架,其中包含了许多插件,下载的时候就包含在其中了,比较常用的有输入插件,输出插件,codec编码插件,filter过滤器插件,输出插件等等,甚至还有许多美未能进入官
logstash过滤器-json插件解析多层json嵌套
theminer的博客
01-08 2947
logstash过滤器-json插件解析多层json嵌套 2019-08-26发表者 Venus 版本:logstash 6.6.2 方法:用logstash过滤器中的json插件配置选项实现 首先介绍用到的参数参数:add_field作用:添加字段 参数:%{field}作用:调用事件中的指定字段 参数:remove_field作用:删除字段 官方插件资料:JSON filter plugin | Logstash Reference [6.6] | Elastic 通过文档描述,json插.
Logstash——Logstash过滤器(filter)解析不同格式的数据
大风的博客
05-12 5249
Logstash 支持不同的数据源头,在数据从源头到目标的过程中,Logstash提供了对数据处理的操作。对数据的操作需要配置filter的内容。 关于安装Logstash的安装可以看之前的文章安装Logstash并完一个简单的日志收集功能 Logstash过滤器对不同格式数据的处理 Logstash涉及对不同格式数据处理的过滤器主要是下面几个 过滤器 作用 json 用来解析JSON格式的内容 json_encode 用来将字段编译JSON格式 kv 解析键值对的数据 .
Logstash解析Json后并处理Json数组
f1009650563的博客
05-24 413
logstash解析json后处理json数组,并拆分为多条
logstash之嵌套复杂json解析及扁平化处理
浪荡江湖的博客
04-28 6655
近期公司有一个需求是使用logstash将复杂的嵌套json扁平化(将原来的多层json映射单层json,其中的key通过下划线'_'连接),并写入s3。据我以往的经验我推测应该有两种方案可行,其中方案一代码简单,但缺点很多,方案二简单高效,但网上没有现的,我以往也没有使用过,通过google也只google到event.to_hash这个稍微有用的方法,这也是我分享的原因,望对有类似需求的朋...
Logstash json filter插件
马明的博客
01-19 2183
通常情况,Logstash收集到的数据都会转json格式,但是默认logstash只是对收集到的格式化数据转json,如果收到的数据仅仅是一个字符串是不会转换Json. 例如: { "message":{\"age\":22,"\id\":1,\"username\":\"张三\"} } message字段的内容是一个json字符串,不是格式化的Json格式,如果数据导入到Elasticsearch,message字段也是一个字符串,不是一个Json对象;json filter插件可
logstash 嵌套解析kv数据
ToLightElegantly的博客
05-06 1571
input{ ... } filter{ kv{ source=>"message" field_split => " " value_split => ":" } } filter{ kv{ source=>"header" //header字段是message里面包含的字段,此字段内容可以继续切分 field_s...
【Spring Boot】Spring Boot之利用Logstash日志转换JSON的格式存储和输出
weixin_30342827的博客
09-15 1977
一、Logstash的作用   Logstash是一个完全开源的工具,它可以对日志进行收集、过滤,能非常方便地将日志转换JSON的格式存储和输出,并将其存储供以后使用。 二、整合Logstash的步骤 注意:需要在logback日志框架的基础上:https://www.cnblogs.com/756623607-zhang/p/9695131.html 1)增加pom依赖 ...
logstash之嵌套json解析及扁平化处理
weixin_42289266的博客
06-03 1505
解析的原始数据 123456|login_event|{"username":"zs","age":"18","hmm":{"likes":"eat"}}|192.168.57.116 目标格式 "userid":"123456", "event_name":"login_event", "username":"zs", "age":"18", "likes":"eat", "ipaddr":"192.168.57.116" logstash配置文件 input { file { path
logstash-template模板:logstash.json
06-14
`logstash.json` 文件就是这样一个预定义的模板,用于规定数据的结构和字段类型,确保数据在导入时能够被正确地解析和存储。 1. **Logstash模板的作用**: - **格式化数据**:模板允许你定义输入数据的结构,包括...
Docker日志自动化:ElasticSearch、Logstash
01-30
本文主要介绍了如何使用ElasticSearch、Logstash、Kibana和Logspout技术栈来部署自动化的日志系统。 You,too,couldLogstash.快速念五遍这个题目!不过说实话,我其实并不确定该给这篇文章起个什么样的名字才能确保...
Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法
08-28
在本文中,我们将详细介绍 Spring Boot 使用 logback、logstash、ELK 记录日志文件的方法。 logback 的优点 相比 log4j,logback 有以下几个优点: 1. 更快的实现:logback 的内核重写了,在一些关键执行路径上...
logstash-logger:编写logstash事件的Ruby logger
02-03
LogStashLogger LogStashLogger扩展了Ruby的Logger类,以直接登录到 。 它支持以logstash JSON格式写入... Logger可以将字符串消息,哈希, LogStash::Event ,对象或JSON字符串作为输入。 事件自动填充消息,时间戳
创新药系列阿尔兹海默病千万患者迎来新疗法.pdf
07-18
医疗行业研究报告
2024全球数字营销趋势报告25页.pdf
07-18
医疗行业研究报告
计算机控制专业技术.doc
07-18
计算机
计算机审计方法.doc
07-18
计算机
高质量的嵌入式面试试题
最新发布
07-18
原创高质量的嵌入式面试试题,全面考察嵌入式理论功底和工作经验,招聘神器,求职面试神器。原创不易,仅用于学习之用,未经本人授权,禁止以任何形式的传播,或用于其他商业目的。
logstash解析json数据
06-06
2. **配置 JSON 过滤器**:在 `filter` 部分,添加 `json` 过滤器,它会自动解析 JSON 字段。 ```ruby filter { json { source => "message" # 如果 JSON 在 "message" 字段中,这里指定该字段 } } ``` 3. **...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jepson2017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值