堆栈内存溢出
  繁体   English   中英

Logstash:从数组到字符串的XML到JSON输出

[英]Logstash: XML to JSON output from array to string

 原文  2015-08-07 14:27:44       json/ xml/ elasticsearch/ logstash

问题描述

我正在尝试使用Logstash将XML转换为ElasticSearch的JSON。 我能够获取读取的值并将其发送到ElasticSearch。 问题是所有值都以数组形式出现。 我想让它们像弦乐一样出现。 我知道我可以单独replace每个字段,但后来我遇到了嵌套字段深度为3级的问题。

XML 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<acs2:SubmitTestResult xmlns:acs2="http://tempuri.org/" xmlns:acs="http://schemas.sompleace.org" xmlns:acs1="http://schemas.someplace.org">
    <acs2:locationId>Location Id</acs2:locationId>
    <acs2:userId>User Id</acs2:userId>
    <acs2:TestResult>
        <acs1:CreatedBy>My Name</acs1:CreatedBy>
        <acs1:CreatedDate>2015-08-07</acs1:CreatedDate>
        <acs1:Output>10.5</acs1:Output>
    </acs2:TestResult>
</acs2:SubmitTestResult>

Logstash配置 

input {
    file {
        path => "/var/log/logstash/test.xml"
    }
}
filter {
    multiline {
        pattern => "^\s\s(\s\s|\<\/acs2:SubmitTestResult\>)"
        what => "previous"
    }
    if "multiline" in [tags] {
        mutate {
            replace => ["message", '<?xml version="1.0" encoding="UTF-8" standalone="yes"?>%{message}']
        }
        xml {
            target => "SubmitTestResult"
            source => "message"
        }
        mutate {
            remove_field => ["message", "@version", "host", "@timestamp", "path", "tags", "type"]
            remove_field => ["entry", "[SubmitTestResult][xmlns:acs2]", "[SubmitTestResult][xmlns:acs]", "[SubmitTestResult][xmlns:acs1]"]

            # This works
            replace => [ "[SubmitTestResult][locationId]", "%{[SubmitTestResult][locationId]}" ]

            # This does NOT work
            replace => [ "[SubmitTestResult][TestResult][CreatedBy]", "%{[SubmitTestResult][TestResult][CreatedBy]}" ]
        }
    }
}
output {
    stdout {
        codec => "rubydebug"
    }
    elasticsearch {
        index => "xmltest"
        cluster => "logstash"
    }
}

示例输出 

{
   "_index": "xmltest",
   "_type": "logs",
   "_id": "AU8IZBURkkRvuur_3YDA",
   "_version": 1,
   "found": true,
   "_source": {
      "SubmitTestResult": {
         "locationId": "Location Id",
         "userId": [
            "User Id"
         ],
         "TestResult": [
            {
               "CreatedBy": [
                  "My Name"
               ],
               "CreatedDate": [
                  "2015-08-07"
               ],
               "Output": [
                  "10.5"
               ]
            }
         ]
      }
    }
}

如您所见,输出是每个元素的数组(除了替换为的locationId)。 我试图不必为每个元素做替换。 有没有办法调整配置,使输出正确? 如果没有,我如何在replace获得3级深度?

--UPDATE--

我想出了如何在测试结果中达到第3级。 替换是: 

replace => [ "[SubmitTestResult][TestResult][0][CreatedBy]", "%{[SubmitTestResult][TestResult][0][CreatedBy]}" ]

1 个解决方案

解决方案1
 1 已采纳  2016-01-28 23:05:05

我想到了。 这是解决方案。 

replace => [ "[SubmitTestResult][TestResult][0][CreatedBy]", "%{[SubmitTestResult][TestResult][0][CreatedBy]}" ]

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在Logstash中分解json数组字符串 XML 字符串到 JSON 输出 如何从Xml原始字符串生成Xml或Json输出格式? Solr JSON 输出从数组到字符串 从 Logstash 中的日志文件解析一组 JSON 对象 将JSON嵌套字符串数组转换为平面字符串logstash Logstash 拆分 JSON 数组 JSON输出字符串到数组或列表中 将JSON解析为字符串数组或xml Angularjs,从json对象输出字符串或字符串数​​组
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM