一、场景:此文以一个简单的json字符串文件为例,描述如何用logstash解析嵌套的json,并删除其中的某些字段

我们在linux中test.json的内容如下:

{"timestamp":"2018-08-02T14:42:50.084467+0800","flow_id":364959073190719,"in_iface":"eth1","event_type":"alert","src_ip":"10.0.0.4","src_port":80,"dest_ip":"10.0.0.5","dest_port":16781,"proto":"TCP","tx_id":0,"alert":{"action":"allowed","gid":1,"signature_id":2101201,"rev":10,"signature":"GPL WEB_SERVER 403 Forbidden","category":"Attempted Information Leak","severity":2},"http":{"hostname":"bapi.yahoo.com","url":"\/v1tns\/searchorderlist?_time=1533192163978","http_user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/67.0.3396.99 Safari\/537.36","xff":"39.106.108.38","http_content_type":"text\/html","http_method":"POST","protocol":"HTTP\/1.0","status":403,"length":568},"app_proto":"http","flow":{"pkts_toserver":5,"pkts_toclient":5,"bytes_toserver":1547,"bytes_toclient":1076,"start":"2018-08-02T14:42:50.082751+0800"}}

为了方便查看,formate后,为如下格式

{

   "timestamp":"2018-08-02T14:42:50.084467+0800",

   "flow_id":364959073190719,

   "in_iface":"eth1",

   "event_type":"alert",

   "src_ip":"10.0.0.4",

   "src_port":80,

   "dest_ip":"10.0.0.5",

   "dest_port":16781,

   "proto":"TCP",

   "tx_id":0,

   "alert":{

      "action":"allowed",

      "gid":1,

      "signature_id":2101201,

      "rev":10,

      "signature":"GPL WEB_SERVER 403 Forbidden",

      "category":"Attempted Information Leak",

      "severity":2

   },

   "http":{

      "hostname":"bapi.yahoo.com",

      "url":"\/v1tns\/searchorderlist?_time=1533192163978",

      "http_user_agent":"Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/67.0.3396.99 Safari\/537.36",

      "xff":"39.106.108.38",

      "http_content_type":"text\/html",

      "http_method":"POST",

      "protocol":"HTTP\/1.0",

      "status":403,

      "length":568

   },

   "app_proto":"http",

   "flow":{

      "pkts_toserver":5,

      "pkts_toclient":5,

      "bytes_toserver":1547,

      "bytes_toclient":1076,

      "start":"2018-08-02T14:42:50.082751+0800"

   }

}

二、目的: 我们需要解析这个json,并且删除json中"src_ip"字段和"http下的hostname"这个字段

我的配置文件如下:

input {

    file {

        path => "/usr/share/logstash/private.cond/nestjson.json"

        codec => "json"

        start_position => "beginning"

        sincedb_path => "/dev/null"

    }

}

filter {

    json {

       source => "message"

    }

    mutate {

      remove_field => ["src_ip","[http][hostname]"]

   }

}

output {

    stdout {

      codec => rubydebug

    }

}

注意第14行删除

注意第14行删除字段和嵌套字段的写法

运行logstash我们得到如下输出:

{

         "alert" => {

                 "gid" => 1,

                 "rev" => 10,

            "severity" => 2,

           "signature" => "GPL WEB_SERVER 403 Forbidden",

              "action" => "allowed",

        "signature_id" => 2101201,

            "category" => "Attempted Information Leak"

    },

          "http" => {

                 "protocol" => "HTTP/1.0",

        "http_content_type" => "text/html",

          "http_user_agent" => "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36",

              "http_method" => "POST",

                   "length" => 568,

                      "url" => "/v1tns/searchorderlist?_time=1533192163978",

                      "xff" => "39.106.108.38",

                   "status" => 403

    },

          "path" => "/usr/share/logstash/private.cond/test.json",

    "event_type" => "alert",

      "src_port" => 80,

     "dest_port" => 16781,

       "dest_ip" => "10.0.0.5",

         "proto" => "TCP",

       "flow_id" => 364959073190719,

         "tx_id" => 0,

      "@version" => "1",

      "in_iface" => "eth1",

     "timestamp" => "2018-08-02T14:42:50.084467+0800",

          "flow" => {

         "pkts_toserver" => 5,

         "pkts_toclient" => 5,

        "bytes_toserver" => 1547,

                 "start" => "2018-08-02T14:42:50.082751+0800",

        "bytes_toclient" => 1076

    },

          "host" => "elk",

     "app_proto" => "http",

    "@timestamp" => 2018-08-02T10:14:14.372Z

}

我们可以看到src_iphttp下的hostname已经被成功删除

Logstash 解析Json字符串,删除json嵌套字段的更多相关文章

  1. Gson解析json字符串、json数组转换成对象

    实体类: public class Product { private int id; private String name; private String date; public int get ...

  2. Java解析json字符串和json数组

    Java解析json字符串和json数组 public static Map<String, String> getUploadTransactions(String json){ Map ...

  3. JSON.stringify()方法是将一个javascript值(对象或者数组)转换成为一个JSON字符串;JSON.parse()解析JSON字符串,构造由字符串描述的javascript值或对象

    JSON.stringify()方法是将一个javascript值(对象或者数组)转换成为一个JSON字符串:JSON.parse()解析JSON字符串,构造由字符串描述的javascript值或对象

  4. js 将json字符串转换为json对象的方法解析-转

    例如: JSON字符串:var str1 = '{ "name": "cxh", "sex": "man" }'; JS ...

  5. 使用python解析Json字符串-获取Json字符串关键字

    import json data = { "statusCode": 0, "data": { ", "height": &quo ...

  6. js 将json字符串转换为json对象的方法解析

    推荐: var obj = eval('(' + str + ')'); var last=JSON.stringify(obj); //将JSON对象转化为string字符 例如: JSON字符串: ...

  7. javaScript 将json字符串转换为json对象的方法解析

    JSON字符串: var str1 = '{ "name": "cxh", "sex": "man" }'; JSON对 ...

  8. Json字符串和Json对象的简单总结

    JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式.JSON成为理想的数据交换语言. 易于人阅读和编写,同时也易于机器解析和生成(一般用于提升网络传输速率). ...

  9. 【荐】使用eval()、new Function()将JSON字符串转换为JSON对象

    在JS中将JSON的字符串解析成JSON数据格式,一般有两种方式: 1.一种为使用eval()函数. 2. 使用Function对象来进行返回解析. 第一种解析方式:使用eval函数来解析,并且使用j ...

  10. JSON字符串与JSON对象的区别

    Q:什么是"JSON字符串",什么是"JSON对象",两者的区别? a.JSON对象是直接可以使用JQuery操作的格式,如C#中可以用对象(类名)点出属性(方 ...

随机推荐

  1. devstack 安装(centos7)

    1. 创建devstack用户 sudo useradd -s /bin/bash -d /opt/stack -m stackecho "stack ALL=(ALL) NOPASSWD: ...

  2. 自动化批量管理工具salt-ssh - 运维小结

    根据以往运维工作中操作经验来说,当管理上百台上千台服务器时,选择一款批量操作工具是及其有必要的.早期习惯于在ssh信任关系的前提下做for;do;done循环语句的批量操作,后来逐渐趋于使用批量工具操 ...

  3. Jmeter(GUI模式)教程

    前些天,领导让我做接口的压力测试.What??我从未接触过这方面,什么都不知道,一脸蒙.于是我从学习jmeter开始入手. 现在记录下来jmeter的使用步骤,希望能对大家有所帮助. 一.安装Jmet ...

  4. Jquery画折线图、柱状图、饼图

    1.今天做了一个折线图,首先需要导js文件.这里有一个demo:http://files.cnblogs.com/files/feifeishi/jquery_zhexiantubingtuzhuzh ...

  5. 重载(overload)、覆盖(override)、隐藏(hide)的区别

    http://blog.csdn.net/yanjun_1982/archive/2005/09/02/470405.aspx 重载是指不同的函数使用相同的函数名,但是函数的参数个数或类型不同.调用的 ...

  6. PAT (Basic Level) Practice 1001 害死人不偿命的(3n+1)猜想

    https://pintia.cn/problem-sets/994805260223102976/problems/994805325918486528 卡拉兹(Callatz)猜想: 对任何一个自 ...

  7. Docker 修改默认存储路径的一个方法

    1. 前期安装创建centOS的虚拟机时发现自己对linux的挂载点不清楚, 造成挂载点的分配不太均匀,如图: root / 节点的大小设置的比较小 /home路径设置的一直比较大 但是docker ...

  8. 关于Http_build_query的用法

    使用背景:在做接口业务过程中,有时会遇到这种情况,本地APP需要接口给其返回一个url,那么在拼接参数的时候,用这个函数就会很方便. 百度百科上给的解释是这样的:http_build_query -- ...

  9. PostgreSQL字段类型说明

    BIGSERIALSERIAL8 存储自动递增的惟一整数,最多 8 字节. BIT 固定长度的位串. BIT VARYING(n)VARBIT(n) 可变长度的位串,长度为 n 位. BOOLEAN  ...

  10. jquery Ajax noConflict()

    如果幾個框架都在使用$作為標識符,那麼這個時候可以使用noConflict()處理衝突. 可以直接使用jquery代替簡寫,也可以定義變量,也可以將$賦值給ready函數,函數內部可以使用快捷方式,不 ...