代码之家  ›  专栏  ›  技术社区  ›  C.med

使用elk解析复杂的XML文件

elastic-stack kibana logstash elasticsearch xml
  •  0
  • C.med  · 技术社区  · 7 年前

    我最近开始学习elk,但在理解如何解析XML数据方面遇到了困难。 我想分析我的XML文件,它如下所示: 

    <Name nameID="xxxx">
  <Type p="1">xxxxxx</Type>
  <Type p="2">xxxxxx</Type>
    .
    .
  <Type p="9">xxxxx</Type>
  <Value obj="1"> 
    <r p="1">5.94</r>
    <r p="2">62.19</r>
    .
    .
    <r p="9">7.19</r>
  </Value>
  <Value obj="2"> 
    <r p="1">5.94</r>
    <r p="2">62.19</r>
    .
    .
    <r p="9">7.19</r>
  </Value>
</Name>
<Name nameID="yyyy">
  <Type p="1">yyyyy</Type>
  <Type p="2">yyyyyy</Type>
  <Type p="3">yyyy</Type>
  <Value obj="1"> 
    <r p="1">54.94</r>
    <r p="2">6.19</r>
    <r p="3">0</r>
  </Value>
</Name>

    我想得到这样的结果:在输出中 

    "NameID = name1
Type = Type1
obj = obj1
Value = xx
"
"NameID = name1
Type = Type2
obj = obj1
Value = xx
"
"NameID = name1
Type = Type3
obj = obj1
Value = xx
"
...etc
and then
"NameID = name1
Type = Type1
obj = obj2
Value = xx
"
"NameID = name1
Type = Type2
obj = obj2
Value = xx
"
....etc

    我使用了这个logstash.conf,但是我没有得到我真正需要的(我为每个字段都得到一个数组) 

    input {
    file {
        path => "/home/test/data.xml"
        start_position => beginning
        sincedb_path => "/dev/null"
        codec => multiline
        {
            pattern => "<Name"
            negate => true
            what => "previous"
        }
    }
}
filter
{
    xml {
        source => "message"
        target => "parsed"
        add_tag => "xml"
        xpath => [
            "//Name/@nameID","Name",
            "//Type/@p","TypeID",
            "//Type/text()","Type",
            "//Value/@obj","Obj",
            "//r/text()","value"]
    2 回复  |  直到 7 年前
        1
  •  0
  •   panchicore    7 年前
    1. 用原木 ruby filter plugin . (需要 require 你的代码中的宝石?)
    2. 带红宝石 parse XML,到
    3. 构建准备索引的JSON文档
        2
  •  0
  •   C.med    7 年前

    解决方案: 

    filter { xml { source => "message" store_xml => true target => "theXML" force_array => false } }
split { field => "[theXML][Type]" }
split { field => "[theXML][Value]" }
split { field => "[theXML][Value][r]" }

    然后在输出中使用: 

    output{
if [theXML][Type][p]==[theXML][Value][p]{
elasticsearch ....}}

    希望能帮助别人;)

    推荐文章
    flalar  ·  从SQL转换为elasticsearch查询
    7 年前
    CrizR  ·  如何使用logstash和elastic配置本机python日志库?
    7 年前
    Shivanshu Bagga  ·  在logstash中加密/保护Elasticsearch的密码。conf文件
    7 年前
    ngi  ·  Logstash 6.0.0:elasticsearch的未知设置–索引类型
    7 年前
    krock1516  ·  无法接收syslog日志。删除和替换函数的配置
    7 年前
    TheHorizon  ·  ELK:设置logstash ELK堆栈的多个http输入
    7 年前
    Livioso  ·  Logstash with Google PubSub输入插件错误:证书验证失败
    8 年前
    Mrin  ·  #<Sequel::jdbc::数据库:0 x764acb8b>
    8 年前
    Venkat  ·  Logstash在Windows 10中不工作
    8 年前
    loki  ·  如何使用logstash制作索引json文件?
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号