Logstash индексирует массивы JSON
Logstash потрясающий. Я могу отправить его в формате JSON следующим образом (многострочно для удобства чтения):
{
"a": "one"
"b": {
"alpha":"awesome"
}
}
А затем запросить эту строку в кибане, используя поисковый терминb.alpha:awesome
, Ницца.
Однако теперь у меня есть строка журнала JSON, например:
{
"different":[
{
"this": "one",
"that": "uno"
},
{
"this": "two"
}
]
}
И я бы хотел найти эту строку с помощью поискаdifferent.this:two
(или жеdifferent.this:one
, или жеdifferent.that:uno
)
Если бы я использовал Lucene напрямую, я бы перебралdifferent
массив и сгенерировать новый поисковый индекс для каждого хэша внутри него, но Logstash в настоящее время, кажется, глотает эту строку следующим образом:
разные: {это: один, тот: uno}, {это: два}
Что не поможет мне в поиске строк журнала, используяdifferent.this
или жеdifferent.that
.
У кого-нибудь есть мысли относительно кодека, фильтра или изменения кода, которые я могу сделать, чтобы включить это?