在 Logstash 中使用可变键名访问嵌套的 JSON 值
Accessing nested JSON Value with variable key name in Logstash
我有一个关于 Logstash 中 JSON 的问题。
我有一个 JSON 输入,看起来像这样:
{
"2": {
"name": "name2",
"state": "state2"
},
"1": {
"name": "name1",
"state": "state1"
},
"0": {
"name": "name0",
"state": "state0"
}
}
现在,假设我想在 logstash 配置中添加一个字段
json{
source => "message"
add_field => {
"NAME" => "%{ What to write here ?}"
"STATE" => "%{ What to write here ?}"
}
}
有没有一种方法可以访问 JSON 输入,这样我就可以得到一个值为 name1 的字段 Name,另一个字段的名称为 2,第三个字段的名称为 3。[=22 中的第一个键=] 正在变化,这意味着只能有一个或多个部分。所以我不想像
这样硬编码
%{[0][name]}
感谢您的帮助。
如果您删除输入中的所有新行,您只需使用 json filter。您不需要任何 add_field 操作。
没有换行的工作配置:
filter {
json { source => message }
}
如果您无法删除输入中的新行,则需要将这些行与 multiline codec 合并。
新行的工作配置:
input {
file {
path => ["/path/to/your/file"] # I suppose your input is a file.
start_position => "beginning"
sincedb_path => "/dev/null" # just for testing
codec => multiline {
pattern => "^}"
what => "previous"
negate => "true"
}
}
}
filter {
mutate { replace => { "message" => "%{message}}" } }
json { source => message }
}
我想你使用的是文件输入。如果你不这样做,就改变它。
输出(对于两者):
"2" => {
"name" => "name2",
"state" => "state2"
},
"1" => {
"name" => "name1",
"state" => "state1"
},
"0" => {
"name" => "name0",
"state" => "state0"
}
我有一个关于 Logstash 中 JSON 的问题。 我有一个 JSON 输入,看起来像这样:
{
"2": {
"name": "name2",
"state": "state2"
},
"1": {
"name": "name1",
"state": "state1"
},
"0": {
"name": "name0",
"state": "state0"
}
}
现在,假设我想在 logstash 配置中添加一个字段
json{
source => "message"
add_field => {
"NAME" => "%{ What to write here ?}"
"STATE" => "%{ What to write here ?}"
}
}
有没有一种方法可以访问 JSON 输入,这样我就可以得到一个值为 name1 的字段 Name,另一个字段的名称为 2,第三个字段的名称为 3。[=22 中的第一个键=] 正在变化,这意味着只能有一个或多个部分。所以我不想像
这样硬编码%{[0][name]}
感谢您的帮助。
如果您删除输入中的所有新行,您只需使用 json filter。您不需要任何 add_field 操作。
没有换行的工作配置:
filter {
json { source => message }
}
如果您无法删除输入中的新行,则需要将这些行与 multiline codec 合并。
新行的工作配置:
input {
file {
path => ["/path/to/your/file"] # I suppose your input is a file.
start_position => "beginning"
sincedb_path => "/dev/null" # just for testing
codec => multiline {
pattern => "^}"
what => "previous"
negate => "true"
}
}
}
filter {
mutate { replace => { "message" => "%{message}}" } }
json { source => message }
}
我想你使用的是文件输入。如果你不这样做,就改变它。
输出(对于两者):
"2" => {
"name" => "name2",
"state" => "state2"
},
"1" => {
"name" => "name1",
"state" => "state1"
},
"0" => {
"name" => "name0",
"state" => "state0"
}