Logstash-json解析失败问题

最新推荐文章于 2023-12-10 09:12:11 发布
最新推荐文章于 2023-12-10 09:12:11 发布
阅读量2.9k 收藏 1
点赞数 1
文章标签: kafka python json elasticsearch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangfeidianzi/article/details/103638766
版权

Logstash解析\t\n失败问题

问题:
今天配置logstash的kafka输入插件,调试Logstash读取kafka数据时,发现解析失败,查看输出到elasticsearch索引的日志信息,发现一个json体数据全被当作message信息处理,后来发现是因为kafka插件读取数据的{ codec=>json},而kafka中一条数据最后含有\t和\n。

处理办法:
读取json数据前,将数据中的\t和\n去掉,本人用python读取数据写到kafka中,再通过logstash读取数据,因此在python读取数据时便将数据中的这两个字符删掉。

variable = '{"message" : "abcdefg\r\n"}'
message_new = variable.replace('\t','').replace('\t','')

再将这条数据写入kafka中,logstash读取即可正常做json解析。

logstash 嵌套json/多层json解析配置
a150791038的博客
04-06 3376
最近解析日志时,发现日志最多有六层嵌套json,且每层json的位置也经常变换,导致正则解析经常失效,并且最终解析文件过于庞大; 最终改成json方式解析日志。 日志样例: <150>Mar 10 13:22:57 localhost sdp-proxy@userLog[486]: {"event":{"subType":"user.l3app.access","mainType":"app","timestamp":"2022-03-10 13:22:57","level":"INFO"
json logstash 解析失败 ctrl-code 1
weixin_33906657的博客
01-09 1899
"问题:从windows 通过flume传输到kafka的日志(GBK),然后再logstash 消费,用json 解析。有些日志解析报错:ctrl-code 1(SOH 文本头)。分析:在终端上用gbk编码查看会有 方框的字符,可以判断该字符就是json 无法识别的控制字符(SOH)。但是不知道kafka消费的时候显示成什么字符,如果知道这个(SOH)然后替换成,json 可以解析的字符就可以了...
springboot 整合 logstash 提示 json parse error 问题
aiyun5520342的博客
08-10 1096
springboot logstash
ELK之Logstash解析json报错 JSON parse error:Unrecognized character escape ‘x‘
一掬净土
12-10 1826
上述有说解析的nginx日志的第一行204个字符()无法解析:发现就是json中的request_body的只在转义的时候变成了\\x22。
最近在搭建ELK日志平台时,logstash报错JSON parse error
jioulongzi的专栏
08-30 1857
直接进入正题,我在搭建elk日志,使用最简单的log4j2 socket json格式 输出到logstash.错误就不再出现了,下面的配置主要是多了json不再美化输出,每条日志记录输出一行json。以上配置,每次有日志时,logstash就抛出json解析错误。
logstash-7.5.1.tar.gz
01-08
过滤器可以处理诸如正则表达式匹配、JSON 解析、日期格式化、字段重命名等任务。 3. **数据输出**:经过处理的数据会被发送到输出插件(output plugins),这些插件负责将数据推送到各种目标,如 Elasticsearch ...
Logstash详解之——output模块
xcl119xcl的专栏
04-12 9925
原始学习资料,请参考官方文档:https://www.elastic.co/guide/en/logstash/current/output-plugins.html Logstash的output模块,相比于input模块来说是一个输出模块,output模块集成了大量的输出插件,可以输出到指定文件,也可输出到指定的网络端口,当然也可以输出数据到ES. 在这里我只介绍如何输出到ES,至于如何输出...
logstash使用csv插件解析格式化日志
Jepson的博客
12-18 1377
csv插件官方手册:https://www.elastic.co/guide/en/logstash/current/plugins-filters-csv.html#plugins-filters-csv-columns 需求示例:用filebeat收集原始日志文件样例如下: filebeat 收集后进入logstash,利用logstash中的csv插件,将上述日志内容解析到指定的字段名中,如字段名依次为:“date_time”, “username”, “ssh_connection”, “pwd”
Logstash8.4在Linux系统上的安装以及配置Tomcat日志(ELK安装part2)(未完待续)
yangkei
09-07 1208
Logstash8.4在Linux系统上的安装以及配置Tomcat日志
logstash处理解析失败的数据,不写入数据库或elasticsearch
weixin_43662454的博客
11-26 2118
filter { dissect{ mapping => { "message" => "%{clientip} - - [%{time_local}] %{request} %{url} " } } if "_dissectfailure" in [tags] { drop {} } } 使用dissect做解析匹配或者grok解析失败写入数据源,...
Logstash处理json格式日志文件的三种方法
热门推荐
很多时候,你缺少的不是知识而是热情
10-16 4万+
file { type => "voip_feedback" path => ["/usr1/data/voip_feedback.txt"] format => json sincedb_path => "/home/jfy/soft/logstash-1.4.2/voip_feedback.access" }
logstash巨坑:文本末尾有回车符时,logstash不读取文本
snowtree_ok的专栏
09-21 1318
最近在做ELK项目,logstash从文本读取日志到Elasticsearch,然后在Kibana显示出来。 一切正常,无任何error或warning,logstash就是没有任何反应,elastic也静悄悄。反复查,未果。无聊至极,把日志文本打开,逐行看,看到末尾顺手把最后面一行的回车符去掉,保存。却惊奇地发现,logstash的console开始运行,一行行输出解析的日志…… 也就是说,...
logstash filter 处理json
weixin_30488085的博客
04-03 2408
根据输入的json字段,分别建立索引。循环生成注册log和登录log保存到testlog文件中,结果如下: {"method":"register","user_id":2933,"user_name":"name_91","level":27,"login_time":1470179550}{"method":"login","user_id":1247,"user_name...
Logstash解析日志文件—包含json内容
Map的博客
11-04 1939
由于业务需要,Logstash采集日志文件内容输出到Elasticsearch 1.日志格式样例: 2019/10/09 05:05:46 [INFO] [Log.go:67] {"name":"SKT002","Type":"Face","UUID":"dasdasdasda"} 2.logstash.con配置文件 input { beats { port =&...
Logstash 处理json格式日志文件
weixin_42315182的博客
03-13 2627
处理nginx日志输出到docker容器日志 ex: {"log":"192.168.10.20 - - [19/Jun/2018:09:08:07 +0000] \"POST /backend/web/index.php?r=products/care/assessment/quick-assessment/assessment-info HTTP/1.1\" 200 60 \"-\" \...
ELK logstash json过滤器
小楼一夜听春雨,深巷明朝卖杏花
12-15 907
Description This is a JSON parsing filter. It takes an existing field which contains JSON and expands it into an actual data structure within the Logstash event. 这是一个JSON解析过滤器。它采用一个包含JSON的现有字段,并将其扩展为Logstash事件内的实际数据结构。 By default, it will place the pa..
logstash错误记录
weixin_43180484的博客
08-30 784
运行logstash出现error=Cannotallocatememory(errno=12) 出现的错误指的是无法分配内存 The problem is inherent with the way Java allocates memory when executing processes. When then exec(). Forking creates a child process by duplicating the current process. By duplicating the
Logstash、Filebeat安装与数据同步(+ES安装讲解)
lydms的博客
08-04 9957
Logstash安装、Filebeat安装、数据同步到ES中
grok解析json
最新发布
04-18
<think>好的,我现在需要帮助用户解决如何用Grok解析JSON数据的问题。首先,用户之前提供了几个引用内容,我需要仔细分析这些引用,看看里面有没有相关的信息可以帮助回答。 引用[1]和[2]主要讨论了Go语言解析JSON的方法,可能和用户的问题关联不大,但用户现在的问题Logstash中的Grok解析JSON,所以这部分可能暂时不需要关注。不过,用户提到在开发阶段进行数据分析,可能暗示在处理JSON结构时需要先了解其结构,这点或许有用。 引用[3]提到Logstash结合Grok、JSONElasticsearch解析复杂日志数据,其中提到Elasticsearch处理日期类型的方式。这里可能涉及到在Grok中处理日期字段,或者在解析后如何正确映射到Elasticsearch的日期类型,但用户的问题更侧重于解析JSON数据本身,所以可能只是背景信息。 引用[4]详细描述了Logstash解析JSON数组的方法,用户的目标是将JSON数组拆分成多条记录。这里用户提供了具体的配置示例,使用了split和json过滤器来处理嵌套的JSON数组。这可能对用户当前的问题有帮助,特别是如果用户需要处理嵌套结构的话。用户可能需要类似的方法,即先解析外层JSON,再处理内部数组。 引用[5]展示了使用Grok模式解析日志成JSON的例子,用户可能希望结合Grok和JSON解析,比如先用Grok提取某个字段,再对该字段进行JSON解析。但用户的问题是如何用Grok解析JSON数据,这可能存在一些混淆,因为Grok通常用于解析非结构化的文本日志,而JSON是结构化的,更适合用Logstashjson过滤器直接解析。 接下来,用户的问题是想用Grok解析JSON数据。通常来说,Grok用于解析非结构化的日志文本,而JSON数据本身已经是结构化的,更适合直接使用Logstashjson过滤器来解析。所以用户可能存在误解,以为需要Grok来处理JSON,但实际上更有效的方法是使用json过滤器。不过,如果用户的JSON数据是作为字符串嵌入在日志消息中的某个字段里,那么可能需要先用Grok提取该字段,然后再用json过滤器解析。 例如,假设日志中的message字段包含一个JSON字符串,可以先用Grok提取出这个字符串,然后使用json过滤器将其解析为结构化数据。引用[4]中的例子就展示了如何先使用json codec或过滤器处理消息,然后再进行拆分操作。这可能就是用户需要的步骤。 此外,用户可能在处理嵌套的JSON结构时需要拆分数组,如引用[4]中的情况,使用split插件将数组拆分为多个事件。这种情况下,先解析外层JSON,再处理内部数组字段是关键步骤。 需要确保用户了解Grok和json过滤器的区别:Grok用于模式匹配非结构化文本,而json用于解析结构化的JSON数据。如果用户的日志已经是JSON格式,直接使用json过滤器更高效;如果JSON嵌入在文本中,则先用Grok提取,再用json解析。 可能还需要考虑错误处理,比如使用tag_on_failure来捕获解析失败的情况,如引用[1]和[5]提到的,确保日志解析的稳定性。同时,日期字段的处理可能需要特别关注,如引用[3]提到的Elasticsearch对日期类型的隐式转换,可能需要配置date过滤器来正确解析时间戳。 总结步骤应该是:首先确定日志结构,如果整个日志是JSON,直接使用json codec或过滤器;如果JSON在某个字段中,先用Grok提取该字段,再用json过滤器解析。处理嵌套数组时,使用split插件拆分事件。最后,处理字段类型和可能的错误情况。</think>根据技术资料和最佳实践,解析JSON数据应优先使用Logstash的`json`过滤器。以下是分步骤解决方案: --- ### 一、基础解析方案(单层JSON) ```ruby filter { json { source => "message" # 从原始消息中解析JSON target => "parsed" # 将解析结果存入parsed字段[^4] remove_field => ["message"] # 可选:移除原始消息 } } ``` - **输入示例**: ```json {"user":"admin","action":"login","ip":"192.168.1.1"} ``` - **输出字段**: ```ruby parsed.user => "admin" parsed.action => "login" parsed.ip => "192.168.1.1" ``` --- ### 二、嵌套JSON处理方案 当遇到嵌套结构时,需结合`ruby`插件处理: ```ruby filter { json { source => "message" skip_on_invalid_json => true # 容错处理[^2] } # 解析嵌套的location字段 if [location] { ruby { code => ' require "json" location = event.get("location") event.set("geo", JSON.parse(location)) # 创建geo字段组 ' } } } ``` - **输入示例**: ```json {"device":"mobile","location":"{\"city\":\"北京\",\"gps\":[116.40,39.90]}"} ``` - **输出字段**: ```ruby device => "mobile" geo.city => "北京" geo.gps => [116.40,39.90] ``` --- ### 三、JSON数组拆分方案(核心方法) 针对`mobiles`类数组结构,使用`split`+`json`组合: ```ruby filter { json { source => "message" } split { field => "mobiles" # 按数组元素拆分事件[^4] } json { source => "[mobiles]" # 解析数组元素 target => "mobile_data" } mutate { merge => { "final_data" => "[mobile_data]" # 合并字段[^4] } remove_field => ["mobiles","mobile_data"] } } ``` - **输入示例**: ```json {"ecName":"测试企业","mobiles":[{"bizCode":"1","mobile":"10000000000"},{"bizCode":"2","mobile":"20000000000"}]} ``` - **输出结果**: ```ruby # 第一条事件 ecName => "测试企业" final_data.bizCode => "1" final_data.mobile => "10000000000" # 第二条事件 ecName => "测试企业" final_data.bizCode => "2" final_data.mobile => "20000000000" ``` --- ### 四、混合模式(Grok+JSON) 当JSON数据嵌入日志行时,需先提取字段: ```ruby filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:logtime} %{LOGLEVEL:level} %{GREEDYDATA:json_content}" } } json { source => "json_content" # 二次解析提取的JSON[^5] } } ``` - **输入示例**: ```log 2023-07-12T14:30:00 INFO {"service":"payment","status":200,"latency":87} ``` - **输出字段**: ```ruby logtime => "2023-07-12T14:30:00" level => "INFO" service => "payment" status => 200 latency => 87 ``` --- ### 五、调试与验证 1. **测试模式**: ```bash bin/logstash -f your_config.conf --config.test_and_exit ``` 2. **字段检查**: ```ruby output { stdout { codec => rubydebug } } ``` --- ### 附:性能优化建议 1. 使用`skip_on_invalid_json => true`避免无效数据阻断流程 2. 对高频访问字段添加`grok`预过滤: ```ruby grok { match => { "message" => "%{NOTSPACE:request_id} %{GREEDYDATA:json}" } } ``` 3. 禁用不需要的字段元数据: ```ruby json { add_tag => ["_json_parsed"] remove_field => ["@version","host"] } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhangfeidianzi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值