首页 > Web开发 > 详细

json logstash 解析失败 ctrl-code 1

时间:2018-01-09 15:17:00      阅读:477      评论:0      收藏:0      [点我收藏+]
"问题:
从windows 通过flume传输到kafka的日志(GBK),然后再logstash 消费,用json 解析。有些日志解析报错:ctrl-code 1(SOH 文本头)。
分析:
在终端上用gbk编码查看会有 方框的字符,可以判断该字符就是json 无法识别的控制字符(SOH)。
但是不知道kafka消费的时候显示成什么字符,如果知道这个(SOH)然后替换成,json 可以解析的字符就可以了。

解决办法:
在日志里发现每一个(SOH)处,都显示为\u0001,这是16进制的ascll code 1。和控制字符的code1也是对应的,断定(SOH)被解析成\u0001这个字符。
input kafka中之前都是直接codec => json{charset =>[""GBK""]},相当于在消费的时候先进行json 解析,这样很无力,一直报错。

换个思路:
1,先无格式plain消费,然后把SOH(\u0001)
2,替换成空格(因为soh无意义,替换成空格不影响源信息)gsub =>["message","\u0001"," "],
3,再用 json {source => ""message""} 进行解析,这样就可以了。
--------------------------配置信息---------------------------------
input {
kafka {
bootstrap_servers => ""ZBSZ1-LOG-KFK01:9092,ZBSZ1-LOG-KFK02:9092,ZBSZ1-LOG-KFK03:9092""
group_id => ""es-rzrqbp02""
topics_pattern => ""rzrqbp-C010001""
value_deserializer_class => ""org.apache.kafka.common.serialization.ByteArrayDeserializer"" #源字节编码转换器,因为一直以GBK编码传输
codec => plain{charset => [""GBK""]}
#codec => json
}
}
filter {
mutate {
convert => { ""[indicator][usedtime]"" => ""integer"" }
gsub =>[""message"",""\u0001"","" ""]
}
json {
source => ""message""
}
date {
match => [""[time_stamp]"",""UNIX_MS""]
target => ""@timestamp""
}

}

output {
elasticsearch {
hosts => [""ZBSZ1-LOG-ES01:9200"", ""ZBSZ1-LOG-ES02:9200"", ""ZBSZ1-LOG-ES03:9200""]
index => ""app-rzrqbp-%{+YYYY.MM.dd}""
document_id => ""%{[indicator][msgid]}""
}

}
"
技术分享图片

json logstash 解析失败 ctrl-code 1

原文:http://blog.51cto.com/11209357/2059041

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!