如何使用Logstash过滤作为哈希值的消息
[英]How to use logstash to grok the message which is a hash
问题描述
所有
我正在使用logstash从远程服务器发送日志。 我收到的消息是这样的哈希类型:
[2014-12-06 23:59:57] 112.254.70.37 <AUDIO> {"type":"Stat", "eid":4800316, "mid":"87192133091532", "ccid":3228662, "ver":102, "ip":"114.113.200.227", "port":9081, "jitter":"0 0 0 0 0 ", "break":"0 0 0 0 0 ", "interrupt":"0 0 0 0 0 ", "tcp_rtt":"40 40 45 50 50 ", "udp_rtt":"31 33 35 40 35 ", "all_pkts":"107180 107193 107249 107323 107358 ", "lost":"0 0 0 0 0 ", "delay":"40.78", "pull":"3 3 3 3 3 "}
那我该怎么写grok的部分,我到处搜索文档,但是我还是不知道怎么... thx!
1 个解决方案
解决方案1
0 已采纳 2014-12-12 08:57:55
首先,您必须通过grok过滤器解析出json数据。 然后,使用json过滤器解析所有hashmap值。 使用此配置,我可以解析您的日志并创建所有field : value 。 希望这可以帮到你。
input {
stdin{
}
}
filter {
grok {
match => [ "message" , "\[%{TIMESTAMP_ISO8601:datatime}\] %{IP:ip} <%{WORD:level}> %{GREEDYDATA:data}"]
}
json {
source => "data"
}
}
output {
stdout{
codec => rubydebug
}
}
Logstash-grok使用消息以外的其他字段
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.