logstash中字符串的split,对每个子串进行json解析

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/fsz9065/article/details/52218276
  1. 最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。
    字符串格式如下:
{"person":{"age":"11"}}     this is the sample

该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:

field1:{
    field_person:{
        field_age:11
    }
}
field2:this is the sample

下面直接上配置文件:

input{
  stdin{
     # codec=>rubydebug
        }
}
filter{
#       codec=>rubydebug
        mutate{
        split=>["message","     "]
                add_field => {
                        "field1" => "%{[message][0]}"
                }
                add_field => {
                        "field2" => "%{[message][1]}"
                }
                remove_field => ["message"]
        }
        json{
                source => "field1"
                target => "field1"
        }
}
output{
  stdout{
        codec=>rubydebug
  }
}

整体配置文件比较容易,如果json的处理中不配置target参数的话,json形成的字段会和field1并列,而不会成为field的字段值。这个需要特别注意一下!

http://www.cnblogs.com/qq27271609/p/4762562.html
http://blog.csdn.net/jiao_fuyou/article/details/49174269

阅读更多

没有更多推荐了,返回首页