Question

我的kv过滤器的字段拆分类似于以下内容 -

field_split =＆gt; ＆＃34;，＆＃34;

field_split基于逗号后跟空格。但我的一个值是json字符串。 logstash的输出似乎在遇到第一个逗号后忽略该值。示例 - 日志的mdc字段类似于： abc = abcvalue request = {＆＃34; key1＆＃34;：＆＃34; value1＆＃34;，＆＃34; key2＆＃34;：＆＃34; value2＆＃34;}

它将其解析为（输出定向到elasticsearch）：＆＃34; abc＆＃34;：＆＃34; abcvalue＆＃34; ＆＃34;请求＆＃34;：＆＃34; {＆＃34; key1＆＃34;：＆＃34; value1＆＃34;＆＃34;

如何获取请求字段如下？＆＃34;请求＆＃34;：＆＃34; {＆＃34; key1＆＃34;：＆＃34; value1＆＃34;，＆＃34; key2＆＃34;：＆＃34; value2＆＃34;} ＆＃34;

Answer 1

如果你真的有json，你可以匹配json并使用json过滤器解析它。

例如：

filter {
  grok {
     match => ["request=(?<request_json>{[^}]+})"] // match from { to first } and put in request_json
  }
  json {
     source => "request_json"
     target => "request"
     remove_field => ["request_json"]
  }
}

具有逗号

1 个答案: