1

logstash ではこの出力を取得していますが、この出力からのみ repo: "username/logstashrepo" を取得しようとしています。その値のみをgrepして変数に代入する方法について、あなたの考えを共有してください。

message: "github_audit: {"actor_ip":"192.168.1.1","from":"repositories#create","actor":"username","repo":"username/logstashrepo","user":"username","created_at":1416299104782,"action":"repo.create","user_id":1033,"repo_id":44744,"actor_id":1033,"data":{"actor_location":{"location":{"lat":null,"lon":null}}}}",
@version: "1",
@timestamp: "2014-11-18T08:25:05.427Z",
host: "15-274-145-63",
type: "syslog",
syslog5424_pri: "190",
timestamp: "Nov 18 00:25:05",
actor_ip: "192.168.1.1",
from: "repositories#create",
actor: "username",
repo: "username/logstashrepo",
user: "username",
created_at: 1416299104782,
action: "repo.create",
user_id: 1033,
repo_id: 44744,
actor_id: 1033,

私は自分の設定ファイルでこれを使用しています:

input {
  tcp {
    port => 8088
    type => syslog
  }
  udp {
    port => 8088
    type => syslog
  }
}

filter {
  grok {
    match => [
      "message",
      "%{SYSLOG5424PRI}%{SYSLOGTIMESTAMP:timestamp} %{HOSTNAME:host} %{GREEDYDATA:message}"
    ]
    overwrite => ["host", "message"]
  }
  if [message] =~ /^github_audit: / {
    grok {
      match => ["message", "^github_audit: %{GREEDYDATA:json_payload}"]
    }

    json {
      source => "json_payload"
      remove_field => "json_payload"
    }
  }
}

output {
  elasticsearch { host => localhost }
  stdout { codec => rubydebug }
}

実際にここに質問を投稿しましたが、何らかの理由で編集してフォローアップできません。

logstash 出力から特定のフィールドを grep する方法

4

1 に答える 1

1

json フィルターで、展開された JSON オブジェクトをサブフィールドに格納できます。mutate フィルターを使用して、「repo」フィールドをトップレベルに移動し、サブフィールド全体を削除します。json フィルター以降の部分的な例:

json {
  source => "json_payload"
  target => "json"
  remove_field => "json_payload"
}

mutate {
  rename => ["[json][repo]", "repo"]
  remove_field => "json"
}
于 2014-11-18T11:23:47.180 に答える