我有一个Logstash配置,我一直用它来转发电子邮件中的日志消息。它使用json和json_encode来解析和重新编码JSON日志消息。
json_encode用于漂亮打印JSON,这样可以制作非常好看的电子邮件。不幸的是,随着最近的Logstash升级,它不再是漂亮的打印。
有什么方法可以让我可以将一个漂亮的事件形式放到我可以用于电子邮件正文的字段中吗?我对JSON,Ruby调试或大多数其他人类可读格式都很好。
filter {
if [type] == "bunyan" {
# Save a copy of the message, in case we need to pretty-print later
mutate {
add_field => { "@orig_message" => "%{message}" }
}
json {
source => "message"
add_tag => "json"
}
}
// other filters that might add an "email" tag
if "email" in [tags] {
# pretty-print JSON for the email
if "json" in [tags] {
# re-parse the message into a field we can encode
json {
source => "@orig_message"
target => "body"
}
# encode the message, but pretty this time
json_encode {
source => "body"
target => "body"
}
}
# escape the body for HTML output
mutate {
add_field => { htmlbody => "%{body}" }
}
mutate {
gsub => [
'htmlbody', '&', '&',
'htmlbody', '<', '<'
]
}
}
}
output {
if "email" in [tags] and "throttled" not in [tags] {
email {
options => {
# config stuff...
}
body => "%{body}"
htmlbody => "
<table>
<tr><td>host:</td><td>%{host}</td></tr>
<tr><td>when:</td><td>%{@timestamp}</td></tr>
</table>
<pre>%{htmlbody}</pre>
"
}
}
}
答案 0 :(得分:1)
正如大约所说,这个问题是由logstash的new JSON parser(JrJackson)引起的。您可以使用old parser作为解决方法,直到再次添加漂亮支持。方法如下:
您需要更改插件的ruby文件的两行。路径应该是这样的:
LS_HOME/vendor/bundle/jruby/1.9/gems/logstash-filter-json_encode-0.1.5/lib/logstash/filters/json_encode.rb
更改行 5
require "logstash/json"
进入
require "json"
更改行 44
event[@target] = LogStash::Json.dump(event[@source])
到
event[@target] = JSON.pretty_generate(event[@source])
这就是全部。重新启动后,logstash应该再次打印。
<强>补充:
如果您不想更改红宝石来源,您还可以使用红宝石过滤器而不是json_encode:
# encode the message, but pretty this time
ruby {
init => "require 'json'"
code => "event['body'] = JSON.pretty_generate(event['body'])"
}