使用logstash将字符串或json数据转换为多个event

最新推荐文章于 2024-05-24 11:02:34 发布
最新推荐文章于 2024-05-24 11:02:34 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013905744/article/details/90051599
版权

文本格式数据转换为多个logstash event

需求:最近在做用ELK进行用户行为日志采集分析的工作,遇到一个问题,就是前端上报的数据是批量的,类似于header:a=1&b=2;body:c=3&d=4,c=5&d=6,c=7&d=8...

我要通过logstash将其解析为

{

  "a":"1",

  "b":"2",

  "c":"3",

  "d":"4"

}

 

{

  "a":"1",

  "b":"2",

  "c":"5",

  "d":"6"

}

 

{

  "a":"1",

  "b":"2",

  "c":"7",

  "d":"8"

}

怎么做呢?当然是通过logstash来debug一步一步来做

http客户端使用postman,

 

logstash的conf文件

input使用http input plugin

主要看filter部分

 

思路:

1. 先把header和body部分提取出来,使用grok

grok{

  match=>{

    "message"=>"%{HEADER:header}%{BODY:body}"

  }

  pattern_definitions => {

    "HEADER"=>"header:.*?;"

  }

 

  pattern_definitions => {

    "BODY"=>"body:.*?;"

  }

}

2. 把header和body部分进行数据清洗,保留我们需要的内容

mutate{

  gsub=>["header","header:",""]

  gsub=>["header",";",""]

}

 

mutate{

  gsub=>["body","body:",""]

  gsub=>["header",";",""]

}

 

3. 把body部分转换为数组

mutate{

  split => {"body"=>","}

}

 

4. 关键点:使用split filter plugin

split{ field => "body"}

 

5. 更改message的内容

mutate {

  add_field =>{

    "new_message" => "%{header}&%{body}"

  }

}

 

mutate{

  update=>{"message"=>"%{new_message}"}

}

 

6. 使用dissect进行解析

dissect{

 mapping=>{"message"=>"%{?key1}=%{&key1}&%{?key2}=%{&key2}&%{?key3}=%{&key3}&%{?key4}=%{&key4}"}

}

 

7. 删除不必要的field

mutate{

  remove_field=>["message","new_message","body","header","host","@version"]

  }

}

 

这样,就达到了我们需要的效果。也是刚刚开始使用logstash的plugin,还不是很熟悉。

json数据转换为多个logstash event

后来呢,技术方案变更了,前端传的是json文件,类似于

{

  "a":"1",

  "b":"2",

  "params":{

    "actionList":[

      {"c"="3","d"="4"},

      {"c"="5","d"="6"},

      {"c"="7","d"="8"}

    ]

  }

}

同样也是要转换为多条logstash event的情况

由于logstash有json codec,所以转换起来要比字符串方便

 

这里由于是json字符串,那么我们使用filebeat来作为input,进行debug

input {

  beats {

    port => 5044

    codec => "json"

  }

}

 

思路是类似的,只是处理的是json字符串,语法格式上有区别

1. 由于json codec已经帮我们处理为json了,而且params.actionList已经是数组格式了,那么直接用split

split{ field => "[params][actionList]"}

 

2. 接下来要把c,d field移动到json根路径下,去掉没用的params和actionList

mutate{

    add_field => {"c"=>"%{[params][actionList][c]}"}

}

3. 移除没用的field

  mutate {

        remove_field => [ "params" ]

  }

完成

const伐伐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
logstash ruby 分割原始事件多个事件
weixin_35750747的博客
02-11 363
Logstash Ruby 可以通过使用 split 函数将一个原始事件分割多个事件。例如,假设您有一个包含多行文本的原始事件,每行文本都是一个单独的事件,则可以使用以下代码: filter { ruby { code => " event.get('message').split(/\\n/).each do |line| line_event =...
logstash将一部分字段从json转换字符串
最新发布
qq_35013224的博客
06-27 107
logstash把params这个多级别json字段 copy一份转换字符串
Logstash解析Json后并处理Json数组
f1009650563的博客
05-24 475
logstash解析json后处理json数组,并拆分为多条
logstash字符串的split,对每个子串进行json解析
热门推荐
格物致知
08-16 3万+
最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。 字符串格式如下: {"person":{"age":"11"}} this is the sample该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:field1:{ field
Logstash filter 使用ruby 进行event事件进行白名单过滤-良心经验分享
扎克begod的专栏
11-13 7405
      网上关于logstash的filter,使用ruby的资料特别少。今天用了一下,看了点ruby语法,踩了点坑。       需求就是做一个白名单,进行过滤logstashevent。因为白名单挺长的,所以,直接写在if 或者写到not in,或者是用prune都不友好。唯独使用强大的ruby了,但是自己也没用学过ruby。第一天初次使用,踩了几个坑。       首先,在logs...
Logstash事件字段遍历
mvpboss1004的博客
09-23 5116
有时候我们需要对Logstashevent的每一个字段进行操作。但问题是,字段的名称和数量有可能是不确定,比如当输入时json时。这时就需要借助ruby filter中的event接口:input { stdin { codec => json } } filter { ruby { code => ' event.to_hash.each do |k, v
logstash转换数据类型
QYHuiiQ
06-02 6404
logstash中可以指定数据类型,否则到了elasticsearch就会变成text,在这里我要把second转为int类型的,解决办法就是在grok插件中在该字段映射后面加上冒号和数据类型。修改如下: ...
logstash-template模板:logstash.json
06-14
- **创建模板**:首先,你需要根据数据结构编写或找到合适的`logstash.json`文件。 - **加载模板**:在Logstash运行前,将模板上传到Elasticsearch集群,可以使用`PUT _template` API或者在Logstash配置文件中指定...
logstash-filter-geocoder:使用地理编码器 gem 将字符串(地址)转换为坐标的 Logstash 过滤器
06-18
Logstash 提供了基础结构来自动为这个插件生成文档。 我们使用 asciidoc 格式编写文档,因此源代码中的任何注释都会先转换为 asciidoc,然后再转换为 html。 所有插件文档都放在一个。 对于格式化代码或配置示例,...
logstash-filter-schema_validation:使用JSON模式验证事件数据结构
05-17
我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放置在一个。 对于格式代码或配置示例,可以使用asciidoc [source,ruby]指令有关更多asciidoc格式...
logstash-codec-json-lines-main.tar.gz
11-02
Logstash 中,编解码器是数据处理管道中的重要组件,它们负责将输入数据转换Logstash 可以理解的格式,或者将处理后的数据转换为特定的目标格式。JSON Lines(也称为 NDJSON 或 newline-delimited JSON)是一...
logstash-codec-json
05-30
我们使用asciidoc格式编写文档,因此源代码中的所有注释都将首先转换为asciidoc,然后转换为html。 所有插件文档都放在一个。 对于格式化代码或配置示例,您可以使用 asciidoc [source,ruby]指令有关更多 asciidoc ...
Logstash解析嵌套JSON格式数据&常见时间操作
XMZHSY的博客
11-30 8491
嵌套Json格式数据 JSON格式一 有如下JSON日志(position下是一个JSON) { "RequestTime":1637737587605, "timestamp":"2021-11-24T15:06:42.681Z", "position":{ "LogType":"请求日志", "TopDirectory":"stream_ad_v1", "RequestIp":"127.0.0.1" } } 将其.
logstash获取自定义日志字符串及切分字段
znice123的博客
08-04 4287
最近使用elk做应用审计的日志信息收集 1、定义应用输出格式 日志文件中如: 2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD 2、logstash中获取有用的字符串 通过grok脚本,截取需要的字符串存放在新建字段中 .
Logstash:Data 转换,分析,提取,丰富及核心操作
Elastic 中国社区官方博客
09-15 8735
在今天的这篇文章中,着重介绍Logstash数据转换,分析,提取及核心操作方便的内容。首先,希望大家已经按照我之前的文章 “如何安装Elastic栈中的Logstash”把Logstash安装好。 Logstash数据源 我们知道Logstash可以在很多的应用场景中使用。它有各种各样的数据源,比如: 这些数据丰富多彩。为了能够让这些数据最终能进入到Elastic...
Logstash使用 aggregation filter 把事件流聚合为一个事件
Elastic 中国社区官方博客
05-09 1793
在我们的实际使用中,我们可能面临更多的是时序数据。一旦数据被写入到 Elasticsearch 中,在分析数据时,我们可以充分 Elasticsearch 的强大功能进行聚合和搜索。如果我们是使用 Logstash 来采集数据的,那么我们有没有想到使用 aggregation filter 来对数据进行聚合,然后再写入到 Elasticsearch 中。那么在实际的搜索时,我们仅仅只需要进行搜索就可以了。
使用命令拆分Json数组为多个文件
qq_29496135的博客
01-23 3391
前提:大概手上有一百多万条文本数据以及对应的关键词(包括抽象关键词)。要把其中的抽象关键词过滤掉,这样清洗以后的样本可以用于关键词标注模型。数据太多,想要脚本控制并行处理,需要拆分数据,但数据本身是json格式存储的,没法用split直接拆分。 split拆分文件 使用split命令 split --lines 50000 xxx.txt xxx/xxx_ 后检查文件夹无任何新文件生成,拆分...
双层json报文样例_Logstash如何解析多层嵌套json数据!!!
05-26
Logstash中处理多层嵌套的JSON数据,可以使用JSON过滤器。具体步骤如下: 1. 在Logstash配置文件中添加JSON过滤器,例如: ``` filter { json { source => "message" target => "parsed_json" } } ``` 其中,`source`指定需要解析的字段名,`target`指定解析结果存放的字段名。 2. 如果JSON数据有多层嵌套,可以使用`[field][subfield]`的方式来访问嵌套的字段,例如: ``` %{[parsed_json][field1][subfield1]} ``` 3. 对于解析后的JSON数据,可以按照需要进行处理和输出,例如: ``` output { stdout { codec => rubydebug } } ``` 以上是一个简单的Logstash处理多层嵌套JSON数据的示例,具体实现还需要根据实际情况进行调整。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值