Logstash que indexa matrices JSON
Logstash es asombroso. Puedo enviarle JSON de esta manera (multilínea para facilitar la lectura):
{
"a": "one"
"b": {
"alpha":"awesome"
}
}
Y luego busque esa línea en kibana usando el término de búsquedab.alpha:awesome
. Agradable.
Sin embargo, ahora tengo una línea de registro JSON como esta:
{
"different":[
{
"this": "one",
"that": "uno"
},
{
"this": "two"
}
]
}
Y me gustaría poder encontrar esta línea con una búsqueda comodifferent.this:two
(odifferent.this:one
odifferent.that:uno
)
Si estuviera usando Lucene directamente, iteraría a través deldifferent
matriz, y genera un nuevo índice de búsqueda para cada hash dentro de él, pero Logstash actualmente parece ingerir esa línea de esta manera:
diferente: {this: one, that: uno}, {this: two}
Lo que no me ayudará a buscar líneas de registro usandodifferent.this
odifferent.that
.
¿Alguna idea sobre un códec, filtro o cambio de código que pueda hacer para habilitar esto?