堆棧內存溢出
  簡體   English   中英

從Packetbeat解碼gzip響應主體

[英]Decoding gzip response body from Packetbeat

 原文  2018-06-11 23:18:33       ruby/ elasticsearch/ logstash/ gzip/ packetbeat

問題描述

我正在使用Packetbeat來通過端口9200上的http協議監視程序監視對Elasticsearch客戶端節點的請求/響應。我正在通過Logstash發送Packetbeat的輸出,然后從那里發送到Elasticsearch的另一個實例。 我們在要監視的Elasticsearch中啟用了壓縮支持,因此我偶爾會看到帶有“ Accept-Encoding:gzip,deflate”標頭的請求,這些請求返回壓縮的響應。 不幸的是,我無法使用我可以使用的任何工具(包括基於Web的轉換器,gzip命令行工具,以及在Logstash紅寶石過濾器腳本中使用Zlib :: GzipReader)來解碼所有這些gzip響應。 他們都報告說這不是gzip格式。

有誰知道為什么我似乎無法解碼gzip內容?

我提供了我在Logstash中使用的過濾器的示例,以嘗試在事件通過Logstash時即時執行此操作(並且它始終報告http.response.body不是gzip格式)。 

filter {
  if [type] == "http" {
    if [http][response][headers][content-encoding] == "gzip" {
      ruby {
        init => "
          require 'zlib'
          require 'stringio'
        "
        code => "
          body = event.get('[http][response][body]').to_s
          sio = StringIO.new(body)
          gz = Zlib::GzipReader.new(sio)
          result = gz.read.to_s
          event.set('[http][response][body]', result)
        "
      }
    }
  }
}

我還在此處提供了一個已記錄事件的示例,其中包括gzip內容,以防您想自己解壓縮它: 

{
  "_index": "packetbeat-6.2.3-2018.05.19",
  "_type": "doc",
  "_id": "oH0bemMB2mAXfg5euIiP",
  "_score": 1,
  "_source": {
    "server": "",
    "client_server": "",
    "bytes_in": 160,
    "bytes_out": 361,
    "@timestamp": "2018-05-19T20:33:46.470Z",
    "client_port": 55863,
    "path": "/",
    "type": "http",
    "client_proc": "",
    "query": "GET /",
    "port": 9200,
    "host": "gke-main-production-elastic-clients-5728bab3-t1z8",
    "@version": "1",
    "responsetime": 0,
    "fields": {
      "nodePool": "production-elastic-clients"
    },
    "response": "HTTP/1.1 200 OK\r\ncontent-type: application/json; charset=UTF-8\r\ncontent-encoding: gzip\r\ncontent-length: 250\r\n\r\n\u001f�\b\u0000\u0000\u0000\u0000\u0000\u0000\u0000T��n�0\u0014Fw���\u001c\u0010\u0018�����&��vH\u0016d�K������\u0010��\u000b�C\u0018����{��\u0010]\u0001�\u001aap1W\u0012�\u0018\u0017�,y)���oC�\n��A��\u001b�6/��\u001a�\u000e��\"l+�����\u001d\u000f\u0005y/���k�?�\u0005�\u0005���3���Y�_[���Mh�\u0007nzo�T����C�1�\u0011�]����\u0007H�\u0015q��)�&i��u^%iF�k�i6�ތs�c���)�9hh^�0�T2<�<���.J����x���}�:c�\u0011��=���\u001f\u0000\u0000\u0000��\u0003\u0000��.�S\u0001\u0000\u0000",
    "proc": "",
    "request": "GET / HTTP/1.1\r\nUser-Agent: vscode-restclient\r\nhost: es-http-dev.elastic-prod.svc.cluster.local:9200\r\naccept-encoding: gzip, deflate\r\nConnection: keep-alive\r\n\r\n",
    "beat": {
      "name": "gke-main-production-elastic-clients-5728bab3-t1z8",
      "version": "6.2.3",
      "hostname": "gke-main-production-elastic-clients-5728bab3-t1z8"
    },
    "status": "OK",
    "method": "GET",
    "client_ip": "10.24.20.6",
    "http": {
      "response": {
        "phrase": "OK",
        "headers": {
          "content-encoding": "gzip",
          "content-length": 250,
          "content-type": "application/json; charset=UTF-8"
        },
        "body": "\u001f�\b\u0000\u0000\u0000\u0000\u0000\u0000\u0000T��n�0\u0014Fw���\u001c\u0010\u0018�����&��vH\u0016d�K������\u0010��\u000b�C\u0018����{��\u0010]\u0001�\u001aap1W\u0012�\u0018\u0017�,y)���oC�\n��A��\u001b�6/��\u001a�\u000e��\"l+�����\u001d\u000f\u0005y/���k�?�\u0005�\u0005���3���Y�_[���Mh�\u0007nzo�T����C�1�\u0011�]����\u0007H�\u0015q��)�&i��u^%iF�k�i6�ތs�c���)�9hh^�0�T2<�<���.J����x���}�:c�\u0011��=���\u001f\u0000\u0000\u0000��\u0003\u0000��.�S\u0001\u0000\u0000",
        "code": 200
      },
      "request": {
        "params": "",
        "headers": {
          "connection": "keep-alive",
          "user-agent": "vscode-restclient",
          "content-length": 0,
          "host": "es-http-dev.elastic-prod.svc.cluster.local:9200",
          "accept-encoding": "gzip, deflate"
        }
      }
    },
    "tags": [
      "beats",
      "beats_input_raw_event"
    ],
    "ip": "10.24.41.5"
  },
  "fields": {
    "@timestamp": [
      "2018-05-19T20:33:46.470Z"
    ]
  }
}

這是客戶端成功解壓縮后在客戶端收到的該消息的響應: 

HTTP/1.1 200 OK
content-type: application/json; charset=UTF-8
content-encoding: gzip
content-length: 250

{
  "name": "es-client-7688c8d9b9-qp9l7",
  "cluster_name": "esprod",
  "cluster_uuid": "8iRwLMMSR72F76ZEONYcUg",
  "version": {
    "number": "5.6.3",
    "build_hash": "1a2f265",
    "build_date": "2017-10-06T20:33:39.012Z",
    "build_snapshot": false,
    "lucene_version": "6.6.1"
  },
  "tagline": "You Know, for Search"
}

1 個解決方案

解決方案1
 0  2018-06-14 08:33:20

我的處境不同,可以解決我的問題。 在這里發布,看看是否對您有幫助。

我使用郵差工具在本地測試我的REST API服務。 我的Packetbeat使用以下配置。 

  type: http
  ports: [80, 8080, 8000, 5000, 8002]
  send_all_headers: true
  include_body_for: ["application/json", "x-www-form-urlencoded"]
  send_request: true
  send_response: true

我正在關注體內的輸出。

在此處輸入圖片說明

當我在郵遞員請求中添加以下內容時,我能夠以明文形式獲取http.response.body。 

Accept-Encoding: application/json

在此處輸入圖片說明

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Ruby Net :: HTTP沒有解碼gzip? 檢查Ruby請求響應是否為gzip編碼 通過Nokogiri從HTTP GET響應主體獲取價值? RSpec / Webmock身體反應 閱讀400響應的主體? Gzip在Rails / Passenger / Nginx中解壓JSON POST主體 法拉第寶石未解壓縮響應體 Ruby GET 響應正文編碼? 從ruby中的gzip提取多個文件 ruby-將HTTP響應正文從xml轉換為哈希的問題-缺少屬性引號錯誤
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM