将值转换为Json后添加add_field logstash
我的日志文件包含此格式的日志
"{\"user_id\":\"79\",\"timestamp\":\"2016-12-28T11:10:26Z\",\"operation\":\"ver3 - Requested for recommended,verified handle information\",\"data\":\"\",\"content_id\":\"\",\"channel_id\":\"\"}"
我写了logstash配置
input {
beats {
port => "5043"
}
}
filter{
grok {
match => { "message" => "%{QS:mydata}"}
}
json {
source => "message"
target => "parsedJson"
}
mutate {
add_field =>{
"user_id" => "%{[parsedJson.user_id]}"
"operation" => "%{[parsedJson][operation]}"
"data"=> "%{[parsedJson][operation]}"
}
}
}
output {
elasticsearch {
hosts => [ "localhost:9200" ]
}
}
基本上我已经尝试了许多排列来获取值,但是在elasticsearch数据中如下图所示。我无法从JSON获取数据并分配给新值。
请帮忙。
1 个答案:
答案 0 :(得分:0)
如果您尝试在add_field过滤器中加入json并在mydata中将source作为json,该怎么办?另外,请确保不要将add_field值与.点分开:
json {
source => "mydata"
target => "parsedJson"
add_field => {
"user_id" => "%{[parsedJson][user_id]}}"
"operation" => "%{[parsedJson][operation]}}"
"data" => "%{[parsedJson][data]}}"
}
remove_field=>["mydata"] <-- you can ignore this if you really don't want to remove
}
希望它有所帮助!
相关问题
- 无法在logstash中使用add_field
- 文件输入add_field不向每一行添加字段
- 处理&#34; null&#34; logstash中的字段和add_field指令
- logstash add_field和remove_field
- add_field和replace之间的logstash差异
- 将值转换为Json后添加add_field logstash
- grok中的add_field和logstash的mutate过滤器之间有区别吗?
- logstash add_field转换问题
- Logstash csv import - 如果不为空则改变add_field
- Logstash配置未给add_field赋值
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?