Phân tích chuỗi JSON lồng nhau trong Logstash

Question

Tôi đang ghi nhật ký, theo định dạng json, nhật ký của tôi có các trường sau, mỗi trường là một chuỗi và trường atts là một json được xâu chuỗi (chú ý: atts trường phụ khác nhau mỗi lần)

đây là một ví dụ:

{"name":"bob","last":"builder", "atts":"{\"a\":111, \"b\":222}"}

tôi muốn phân tích nó một cái gì đó như thế này:

{ 
    "name" => "bob", 
    "last" => "builder" 
    "atss" => { 
      "a" => 111, 
      "b" => 222} 
    } 

đây là cấu hình của tôi:

input { stdin { } } 

filter { 
    json { 
    source => "message" 
    target => "parsed" 
    } 
} 
output { stdout { codec => rubydebug }} 

ok, vì vậy bây giờ tôi có được điều này:

{ 
    "@timestamp" => 2017-04-05T12:19:04.090Z, 
    "parsed" => { 
     "atss" => "{\"a\":111, \"b\":222}", 
     "name" => "bob", 
     "last" => "the builder" 
    }, 
     "@version" => "1", 
      "host" => "0.0.0.0" 
} 

làm thế nào tôi có thể phân tích lĩnh vực atts để JSON vì vậy tôi nhận:

{ 
    "@timestamp" => 2017-04-05T12:19:04.090Z, 
    "parsed" => { 
     "atss" => 
      {"a" => 111, 
      "b" => 222}, 
     "name" => "bob", 
     "last" => "the builder" 
    }, 
     "@version" => "1", 
      "host" => "0.0.0.0" 
} 

Answer 1

nhờ @Alcanzar đây là những gì tôi đã làm

input { 
    stdin { } 
} 

filter { 
    json { 
    source => "message" 
    target => "message" 
    } 
    json { 
    source => "[message][atts]" 
    target => "[message][atts]" 
    } 

} 
output { stdout { codec => rubydebug }} 

Answer 2

Có bộ lọc json. Chỉ cần vượt qua nó lĩnh vực bạn muốn phân tích cú pháp và một mục tiêu mà bạn muốn nó.

Cái gì như:

json { 
    source => "[parsed][atss]" 
    target => "[parsed][newfield]" 
} 

Tôi không chắc chắn nếu bạn có thể đặt atss như lĩnh vực mới. Nó có thể hoặc có thể không hoạt động. Nếu không, hãy sử dụng bộ lọc mutate để remove_field và rename_field.