Logstash 解析Kong字符串删除json嵌套字段

已于 2023-03-28 11:14:46 修改
阅读量516 收藏
点赞数
分类专栏: ELK-开发运维使用技巧 ELK系统 监控体系平台 文章标签: kong json elasticsearch
于 2023-03-28 11:14:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_31555951/article/details/129812145
版权
本文介绍了如何使用Logstash解析Kong日志,并解决因字段类型不一致导致的错误。通过配置Logstash文件,焦点在于处理JSON嵌套字段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、场景

Logstash 收集Kong的日志,有字段类型不一致导致报错,
object mapping for [request.querystring.login] tried to parse field [login] as object, but found a concrete value
在这里插入图片描述
在这里插入图片描述

2、配置Logstash文件
[root@gtcq-gt-monitor-prometheus-01 conf.d]# more  getway_kong_log.conf 
input{
    kafka{
           bootstrap_servers => "10.152:9092"
           group_id => "getway_kong_logs"
           topics => "getway_kong_logs"
           consumer_threads => 3
           decorate_events => true
           auto_offset_reset => "earliest"
           type => "getway_kong_logs"           
    }
}
filter {
    if [type] == "getway_kong_logs" {
     mutate { 
                add_field => { "types" => "%{type}"}
             }
     json {
                source => "message"
          }

     json {
                source => "message"
          } 
     mutate {
                remove_field => ["message","route","querystring","[request][querystring]"]
          }
    }
}
output {
      if [types] == "getway_kong_logs" {
      
         elasticsearch {
            hosts => ["10.152:60993","10.152:60993","10.152:60993"]
            index => "kong_logs_%{+YYYY_MM_dd}"
           }
      }


#     stdout {
#                codec => "rubydebug"
#        }
}
[root@gtcq-gt-monitor-prometheus-01 conf.d]#

注意核心是:remove_field => ["message","route","querystring","[request][querystring]"]
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值