logstash json过滤未完成

时间:2016-02-16 04:07:50

标签: logstash

以下是示例消息:     { “消息”:“\ u001F \ x8B \ B \ u0000的\ u0000的\ TN \ X88 \ U0004 \ xFFT \ x90O \ X8F \ xD30 \ u0010sJ \ u0015qc \ x9Bz \ u001C \ X8F \ XE3 \ XE4 \ XDC \ u001E \ XF6 \ X80 \ X90 \ XAA \ u0015 \一个\ XD1 \ XF8 \ XDF&安培;!(\ x8EK \ XE2 \ u0016 \ xC4wg \ xA2E \ X82 = Y3〜\ XEF \ xF9 \ XE7 \ XF7 \ xABz \ x84u \ x9B \ xF2R \ XF5 \ u0015 \ xD4P = Uc的\ XDE \ n \ u000F \ X8F \ xC7w \ u001E \ xB61 \ xAFeHa \ XDB \ xE85 \ XF0 \ xF6p \ XBE \\\ x9F \ XBF \ U0004 \ u007F \ xE8 \ u000FR \ b \ u0016 \ XC4 \ XFB< \xFFwς2\ XB1 \ xBCP \ xBAU = \ XD4 \ n \ u0011; \ X94 \ x88Z \ xC8 \ xF0QtO \ XD5 \ u001C \ u001Ea \ xAEz \ xCDVr \ XD3< \ X95 \ x9F \ u001C˶\ XC1 \ xE5 \ x94h \ XF1< \ x9D촜\ XB6 \ xF1pt \ AK |〜\ xF8ty \ xB9 | \ XBE \ x9E \的x87 \ XF3 \ XF3 \ XF5 \ XB4ޗ\ x81n \ xB7z。\ E \ xDFLK \ xA1i \吨\ xEB0 \ xEDN \ X84 \ xC6V [录\ u0000的\ U0003 \ x9Dw \ u001E \ X85 \ XB2 \ u0000的>!\ U0002 \ x92C#\ xB1i \ XBCղѭt\ xA8H4 $ \ xB5u r \ u0014 \ XF6 } \ xE4Bi \ xFFs \ XCA \ xF7oCJ \ xB9 \ XFC \ xC8 \ XC3 ^ \ XD0 \ xE0 \ XD6 @%\ XEC \ xEFI \ U0001 \ XFA(\ XE4 \ u0011 \ XF4 \ x8Bhz \ xECz \ u0005 \ xB5Q \ xBCT(ۯ\ xBBvJ \\\ XDC。\ E \ xDC6 \ x92D \ xDDK \ XDFڨ[\ u0014 \ XBA \ XB3:\ X83 \ xAD1 \ XA4}吨\ xE8 \ u0014i \ xE5 = [\ x9BFXF \ u0005 \ XAD \ X95 \ X93 \ XCA \ u0001Xe \ x9C \ xEDZ \ XC3 \ XDC \ xFFR \ XFF \xF2A'kЦ\ 86 \ xBAa \ u0006!\ XC4 \ xC9 \ xE5c \ X CA + \ XD7 /ͮ\xF4ʬ\ XD5 \ XEF \ U0001 \ u0000的符\ u0000 \ XFF \ XFF \ XA7 \ F(\ XFC \ XEC \ U0001 \ u0000的\ u0000" 的, “标签?”: “_ jsonparsefailure”], “@version”: “1”, “@时间戳”: “2016-02-16T04:00:52.993Z”, “类型”: “系统日志”, “宿主”: “192.168.1.34”}

注意:“tags”:[“_ jsonparsefailure”],

配置过滤:

filter {
    json {
        source => "message"
    }
}

我仍然在收到编码信息

编辑:添加Logstash配置文件

input {
    tcp {
        port => 5000
    }
    udp {
        port => 5514
#       codec => json
    }
    tcp {
        port => 5516
    }
    syslog {
        port => 1514
    }
}

filter {
    json {
        source => "message"
    }
} 

output {
    file {
        path => "/var/log/logstash.log"
    }
    elasticsearch{
        codec => "json"
        hosts => "ls-elasticsearch:9200"
    }
}

//请求来自udp端口5514。

1 个答案:

答案 0 :(得分:0)

如果将输入编解码器设置为json,则不需要设置json滤镜。你要解码两次。

您正在非json格式化字段上使用json过滤器。如文档所示enter link description here,过滤器会将字段内容转换为logstash事件中的数据。

删除json过滤器。

相关问题
最新问题