Logstash，如何处理带有子字段的字段_Logstash

Logstash，如何处理带有子字段的字段

logstash

Logstash，如何处理带有子字段的字段,logstash,Logstash,我有一个消息日志，可通过以下方式解析： filter { kv { field_split => "|" } 但一个字段有时有子字段，子字段由utf8字符分隔 AppBody=POIREQ:¸ID: 27¸Address: http://myserver¸Payload: <?xml version="1.0" encoding="UTF-8"?> <xml here...> AppBody=POIREQ:¸ID:27¸地址：http://mys

我有一个消息日志，可通过以下方式解析：

filter {
  kv {
    field_split => "|"
  }

但一个字段有时有子字段，子字段由utf8字符分隔

AppBody=POIREQ:¸ID: 27¸Address: http://myserver¸Payload: <?xml version="1.0" encoding="UTF-8"?> <xml here...>

AppBody=POIREQ:¸ID:27¸地址：http://myserver¸有效载荷：

这里没有，直接转到xml字符串：

AppBody=POIRESP:<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header><xml here....>

AppBody=POIRESP:

所以我猜AppBody=TYPE 那么

:<soap:Evnvelope ....

：您可以运行第二个kv过滤器吗
filter {
  kv {
    field_split => "|"
  }
  kv {
    field_split => "¸"
    value_split => ":"
    source => "AppBody"
  }
}

第二个kv块现在拆分AppBody
字段中的子字段
filter {
  kv {
    field_split => "|"
  }
  kv {
    field_split => "¸"
    value_split => ":"
    source => "AppBody"
  }
}