logstash解析JSON格式的字符串输入

最新推荐文章于 2024-07-30 19:43:15 发布
原创 最新推荐文章于 2024-07-30 19:43:15 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Logstash中的Grok过滤器从JSON格式的数据中提取特定字段,并通过Mutate过滤器将提取到的数据拼接成指定格式,以便于后续存储及处理。此方法适用于字段数量不固定的情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

业务需求:输入为JSON字符串,JSON字符串的字段个数不确定,但知道最多可能会有哪些字段,顺序确定的,现在要提取其中的value值并以制表符分割,方便后续存储在HDFS中并便于hive建表:

示例输入:

{ "cjdid": "DZQ10012","rfidId": 21412341234123410,"passTime": 1530135600,"plateColor": "1","rectifyCode": "112412","mergeCode": "123125","eid": "12124315","plateCode":4}

{ "cjdid": "DZQ10012","rectifyCode": "112412","mergeCode": "123125","eid": "12124315","plateCode":4}

输出:DZQ10012     21412341234123410     1530135600     1     112412   123125   12124315   4

           DZQ10012    112412    123125    12124315    4

 

logstash中采用gork进行正则匹配获取相应字段,拼接采用mutate实现(这里的代码与示例输入输出不是对应的,但原理一样)

filter{

        grok{
                match => {

                                       #正则匹配获取字段值
                        "message" => '^{("COLLECT_TIME":"?(?<time>\d+)"?,?)?("CONTENT1":"?(?<CONTENT1>\w+)"?,?)?("CONTENT2":"?(?<CONTENT2>\d+)"?,?)?'
        }
        }

#逐个字段判断拼接

    if[time]{
        mutate{
            replace=>{"message"=>"%{time}"}
            remove_field => ["time"]
        }
    }else{
         mutate{
                        replace=>{"message"=>"null"}
                }
    }

    if[CONTENT1]{
        mutate{
                       replace => { "message" =>"%{message}    %{CONTENT1}" }
            remove_field => ["CONTENT1"]
                }
    }else{
        mutate{
                       replace => { "message" =>"%{message}     null" }
                }

    }

    if[CONTENT2]{
                mutate{
                        replace=>{"message" => "%{message}    %{CONTENT2}"}
            remove_field => ["CONTENT2"]
                }
        }else{
        mutate{
                        replace=>{"message" => "%{message}      null"}
                }
    }

}

Logstash 解析Kong字符串删除json嵌套字段
运维打怪晋级之路
03-28 535
Logstash收集Kong的日志,有字段类型不一致导致报错
logstash获取自定义日志字符串及切分字段
znice123的博客
08-04 4536
最近使用elk做应用审计的日志信息收集 1、定义应用输出格式 日志文件中如: 2020-06-27 09:25:01.458 [L:INFO] 11779 --- [io-8090-exec-55] n.e.s.m.d.d.P.insertSelective!selectKey :AD.scan|system|order|delete|2020-07-29|15:53|user1|success.AD 2、logstash中获取有用的字符串 通过grok脚本,截取需要的字符串存放在新建字段中 .
logstash+grok+json+elasticsearch解析复杂日志数据(二)
cuixuange的博客
10-19 9321
接着上面一篇来说,这篇主要介绍logstash处理实时数据问题,日志数据更新时,logstash处理方式是默认每15s检查一次文件夹,每5秒检查一次文件,这些参数可以改变的。遇到当处理较多批次数据时,logstash出现卡死状态的原因,我目前猜测是输入文件较多logstash处理很快,而输出插件input elasticsearch这个插件线程限制,导致的死锁问题,后面详细说。最后展示一下ki
elk7.7.1【系列九】logstash filter先处理字符串,在json格式
qq_29384639的博客
08-08 1099
1、数据源 notice - - - {"kill_chain":"remote-control","dst_ip_geoloc":"34.7725,113.7266","sub_category":"APT_htran (apt );APT_others (apt );APT_others(apt )","src_ip_city":"Beijing","hostip":"10.1.0.37","reliability":10,"classtype":"threat-intelligence-alarm
logstash字符串的split,对每个子串进行json解析
格物致知
08-16 3万+
最近遇到一个需求,大致是字符串用\t分割,每一个子串都是一个json串,需要用logstash对该字符串进行结构化处理,用于elasticsearch和可视化kibana。 字符串格式如下: {"person":{"age":"11"}} this is the sample该字符串期望分割成两个字段,并对第一个字段进行json解析。最终达到下面的形式:field1:{ field
logstash截取指定字符和grok的使用
cai750415222的博客
01-23 2万+
logstash截取指定字符 由于项目原因有些日志打印出来之后,会在kibana中显示很不友好而且加载ES的时候也特别的忙,所有我想有没有办法可以让日志在kibana中展示的比较友好一点呢,于是找来很多相关的资料,种感觉有点差异,所有自己摸索的一点出来 在网上看到有很多种截取方式 有在filebeat中做过滤的 ,有在logstash中过滤的,这里我简单的说说logstash中的一些 我们用gro...
检索匹配的利器:正则表达式
企鹅肖
02-03 654
正则表达式(Regular Expression,下文简称为RegEx或正则)是一个很棒的利器,它广泛应用于字符串的查找、匹配以及替换等场景,比如检查邮箱、手机号、URL等等。以其简短的...
logstash-template模板:logstash.json
06-14
- JSON模板通常包含字段名和字段类型,如字符串、数字、日期等,有时还包括映射(mapping)设置,如动态模板、分析器(analyzer)等。 3. **使用Logstash模板的步骤**: - **创建模板**:首先,你需要根据数据...
logstash解析json数据
06-06
这个过滤器能够解析接收到的 JSON 字符串,并将其转化为结构化的字段,方便进一步处理。使用方法如下: 1. **添加 JSON 输入**:首先,你需要配置一个输入插件来接收 JSON 格式的日志数据,例如 `stdin`, `file`, ...
springboot实现FastJson解析json数据的方法
09-18
它可以方便快速地将Java对象转换成JSON字符串,也可以将JSON字符串转换回Java对象。FastJson支持泛型、支持循环引用、支持各种Java集合类型等特性使其在处理JSON数据时显得非常方便。 2. Spring Boot与FastJson集成...
logstash判断是否匹配_Logstash 字符串的提取
weixin_39588104的博客
12-20 880
需求:比如 path => /wls/applogs/rtlog/icore-pts2SF2433/icore-pts2SF2433.out想提取icore-pts 与 icore-pts2SF2433/icore-pts2SF2433.out第一种方法:用grok 处理filter{grok{match=>["path","/wls/applogs/rtlog/(?[a-z]...
logstash grok(正则表达式)提取日志信息
07-28
logstash grok 添加了自定义的正则表达式,可以提取出日志的等级,日志的时间,日志的线程号
logstash取事件(jsong或json数组消息)内容字段方式
最新发布
hh916701843的博客
07-30 274
logstash采集数据取字段属性
1.logstash实现敏感信息脱敏及超长字符截取
wang37444的专栏
05-07 4396
我们通过filebeat收集的日志通常没有进行敏感信息的脱敏工作,以及一些base64超长字符如果不做处理,存储到es及在kibana展示也会耗费性能。 针对这两个问题我们可以进行如下配置: 1.设置超长字符截取 进入logstash安装目录,config文件夹下新建文件logstash_to_es相关配置如下: filter { if [type] == "filebeat" { grok ...
logstash利用grok截取字符中指定长度的内容
fengzhimohan的博客
10-29 5742
最近项目用到logstash,要求利用grok截取日志消息中某一指定长度的内容。 Logstatsh需要两个必需参数input、output,以及一个可选参数filter。input用于输入数据的设置,output用于输出数据的设置。filter是实现数据过滤的设置。grok是在filter里面实现数据截取。 项目有一串协议消息如 7e8900000c040116432693324af001018...
Logstash处理json格式日志文件的三种方法
热门推荐
很多时候,你缺少的不是知识而是热情
10-16 4万+
file { type => "voip_feedback" path => ["/usr1/data/voip_feedback.txt"] format => json sincedb_path => "/home/jfy/soft/logstash-1.4.2/voip_feedback.access" }
logstash的安装与使用(读取嵌套json平级格式,grok语法与正则使用,双线程处理,导入elasticsearch)
weixin_42487460的博客
05-26 1614
logstash的安装与使用一、简介与安装二、简单体验输入输出(配置字符串)修改输出格式json格式三、读取配置文件输入输出读取文件中的内容(1)读取普通文本(2)读取json格式内容(3)多层嵌套json平级格式四、grok语法与正则的使用五、双线程处理 一、简介与安装 logstash的作用:日志收集 如何工作: 输入(input):必须,如stdin、file、http、exec… 过滤器(filter):可选,如grok、mutate… 输出(output):必须,如stdout、elastic
Logstash-json解析失败问题
zhangfeidianzi的博客
12-20 3023
Logstash解析\t\n失败问题 问题: 今天配置logstash的kafka输入插件,调试Logstash读取kafka数据时,发现解析失败,查看输出到elasticsearch索引的日志信息,发现一个json体数据全被当作message信息处理,后来发现是因为kafka插件读取数据的{ codec=>json},而kafka中一条数据最后含有\t和\n。 处理办法: 读取json数据...
Logstash处理嵌套的json字符串
Posin 的博客
12-17 1921
Logstash解析元数据的json字符串生成新的字段
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值