Question

我有logstash以Json格式提取日志，该日志包含一个包含JSON的特定字段。 Logstash将JSON作为字符串处理该特定字段，因为引用了该值。我希望Logstash也将该字段的内容视为JSON，但无法弄清楚如何删除引号。

这是日志： {＆＃34;时间＆＃34;：＆＃34; 2014年6月16日＆＃34;＆＃34;主机名＆＃34;：＆＃34; FOOname＆＃34;＆＃34;事件＆＃34 ;: ＆＃34;警告＆＃34;，＆＃34; CustomField＆＃34;：＆＃34; {＆＃34;标题＆＃34;：＆＃34;这是被视为字符串的数据＆＃34;，＆＃ 34;用户＆＃34;：＆＃34; FooUser＆＃34;}＆＃34;}

围绕＆＃34; CustomField＆＃34;的值的引号造成了这个问题。

由于

Answer 1

您当前的配置是什么以及您正在运行的Logstash版本是什么？

我认为以下方法可行：

filter {
  json {
    source => "CustomField"
    target => "CustomFieldParsed"
  }
}

http://logstash.net/docs/1.4.1/filters/json

如果你的JSON在Title字段中，那么

    source => "CustomField.Title"

需要在LogStash中将字符串转换为JSON

1 个答案: