3

我有一个 Logstash 配置,我一直在使用它来转发电子邮件中的日志消息。它使用jsonandjson_encode来解析和重新编码 JSON 日志消息。

json_encode用于漂亮地打印 JSON,这使得电子邮件看起来非常漂亮。不幸的是,随着最近的 Logstash 升级,它不再漂亮了。

有什么方法可以将漂亮的事件形式放入可用于电子邮件正文的字段中?我可以使用 JSON、Ruby 调试或大多数其他人类可读格式。

filter {
    if [type] == "bunyan" {
        # Save a copy of the message, in case we need to pretty-print later
        mutate {
            add_field => { "@orig_message" => "%{message}" }
        }

        json {
            source => "message"
            add_tag => "json"
        }
    }

    // other filters that might add an "email" tag

    if "email" in [tags] {
        # pretty-print JSON for the email
        if "json" in [tags] {
            # re-parse the message into a field we can encode
            json {
                source => "@orig_message"
                target => "body"
            }

            # encode the message, but pretty this time
            json_encode {
                source => "body"
                target => "body"
            }
        }

        # escape the body for HTML output
        mutate {
            add_field => { htmlbody => "%{body}" }
        }
        mutate {
            gsub => [
                'htmlbody', '&', '&',
                'htmlbody', '<', '&lt;'
            ]
        }
    }
}

output {
    if "email" in [tags] and "throttled" not in [tags] {
        email {
            options => {
                # config stuff...
            }
            body => "%{body}"
            htmlbody => "
<table>
  <tr><td>host:</td><td>%{host}</td></tr>
  <tr><td>when:</td><td>%{@timestamp}</td></tr>
</table>
<pre>%{htmlbody}</pre>
"
        }
    }
}
4

1 回答 1

1

正如 approxiblue 所说,这个问题是由 logstash 的新 JSON 解析器(JrJackson)引起的。在再次添加漂亮打印支持之前,您可以使用旧解析器作为解决方法。方法如下:

您需要更改插件的 ruby​​ 文件的两行。路径应该是这样的:

LS_HOME/vendor/bundle/jruby/1.9/gems/logstash-filter-json_encode-0.1.5/lib/logstash/filters/json_encode.rb

更改第5行 

require "logstash/json"

进入

require "json"

并更改第44行

event[@target] = LogStash::Json.dump(event[@source])

进入

event[@target] = JSON.pretty_generate(event[@source])

就这样。重新启动logstash 后应该再次漂亮打印。

补充:

如果您不喜欢更改 ruby​​ 源,您也可以使用 ruby​​ 过滤器而不是 json_encode:

# encode the message, but pretty this time
ruby  {
    init => "require 'json'"
    code => "event['body'] = JSON.pretty_generate(event['body'])"
}
于 2015-08-25T16:12:07.143 回答