Невозможно проанализировать ввод XML с помощью фильтра logstash

Привет я пытаюсь разобрать следующий XML:

<msg time='2014-08-04T14:36:02.136+03:00' org_id='oracle' comp_id='rdbms'
 msg_id='opistr_real:953:3971575317' type='NOTIFICATION' group='startup'
 level='16' host_id='linux4_l' host_addr='127.0.0.1'
 pid='8986' version='1'>
 <txt>Starting ORACLE instance (normal)
 </txt>
</msg>

используя эту конфигурацию:

 input {
   stdin {
    type => "stdin-type"
  }
  }
 filter { multiline {
                       pattern => "^\s|</msg>|^[A-Za-z].*"
                        what => "previous"
                }
                xml {
                        store_xml => "false"
                        source => "message"
                        xpath => [
                                "/msg/@client_id", "msg_client_id",
                                "/msg/@host_id", "msg_host_id",
                                "/msg/@host_addr", "msg_host_addr",
                                "/msg/@level", "msg_level",
                                "/msg/@module", "msg_module",
                                "/msg/@msg_id", "msg_msg_id",
                                "/msg/@pid", "msg_pid",
                                "/msg/@org_id", "msg_org_id",
                                "/msg/@time", "msg_time",
                                "/msg/@level", "msg_level",
                                "/msg/txt/text()","msg_txt"
                        ]
               }
                date {
                        match => [ "msg_time", "ISO8601" ]
                }
                mutate {
                        add_tag => "%{type}"
                }
}
output { elasticsearch { host => localhost } stdout { codec => rubydebug } }

но когда я запускаю logstash, я получаю следующую ошибку:

{:timestamp=>"2014-09-04T17:28:39.428000+0300", :message=>"Exception in filterworker", "exception"=>#<NoMethodError: undefined method `split' for ["msg_level", "msg_level"]:Array>, "backtrace"=>["/opt/logstash/lib/logstash/util/accessors.rb:19:in `parse'", "/opt/logstash/lib/logstash/util/accessors.rb:15:in `get'", "/opt/logstash/lib/logstash/util/accessors.rb:59:in `store_path'", "/opt/logstash/lib/logstash/util/accessors.rb:55:in `lookup'", "/opt/logstash/lib/logstash/util/accessors.rb:34:in `get'", "/opt/logstash/lib/logstash/event.rb:127:in `[]'", "/opt/logstash/lib/logstash/filters/xml.rb:117:in `filter'"

.... "/opt/logstash/lib/logstash/pipeline.rb:143:in` start_filters '"],: level =>: error} {: timestamp =>" 2014-09-04T17: 30: 47.805000+ 0300 ",: message =>" Прерывание получено. Выключение конвейера.",: Level=>:warn}

Источник

3 ответа

Решение

Я нашел свою проблему, я дважды продублировал разбор по xpath, /msg@level.

Источник

multiline Кодек не очень подходит для этого типа файлов, но вы бы использовали что-то вроде:

multiline {
      pattern => '<msg'
      negate => true
      what => previous
}

Проблема в том, что последнее событие в файле не исчезает до тех пор, пока не произойдет следующее событие (поэтому вы теряете последнее событие в файле).

Источник

Проблема в том, что последнее событие в файле не исчезает до тех пор, пока не произойдет следующее событие (поэтому вы теряете последнее событие в файле).

Вместо этого лучше сопоставить закрывающий тег.

multiline {
    pattern => "</msg>$"
    negate => true
    what => next
}
Источник
Другие вопросы по тегам