Logstash ist großartig. Ich kann es JSON wie folgt senden (aus Gründen der Lesbarkeit mehrzeilig):

{
  "a": "one"
  "b": {
    "alpha":"awesome"
  }
}

Und dann fragen Sie nach dieser Zeile in Kibana mit dem Suchbegriffb.alpha:awesome. Nett.

Allerdings habe ich jetzt eine JSON-Protokollzeile wie folgt:

{
  "different":[
    {
      "this": "one",
      "that": "uno"
    },
    {
      "this": "two"
    }
  ]
}

Und ich möchte in der Lage sein, diese Zeile mit einer Suche wie zu findendifferent.this:two (oderdifferent.this:one, oderdifferent.that:uno)

Wenn ich Lucene direkt verwenden würde, würde ich das durchlaufendifferent Array, und generieren Sie einen neuen Suchindex für jeden Hash darin, aber Logstash scheint derzeit diese Zeile wie folgt aufzunehmen:

anders: {this: one, that: uno}, {this: two}

Was mir bei der Suche nach Protokollzeilen mit nicht weiterhilftdifferent.this oderdifferent.that.

Irgendwelche Gedanken zu einem Codec, Filter oder einer Codeänderung, die ich vornehmen kann, um dies zu ermöglichen?