Matrizes JSON de indexação de logstash
Logstash é incrível. Posso enviar JSON assim (com várias linhas para facilitar a leitura):
{
"a": "one"
"b": {
"alpha":"awesome"
}
}
E, em seguida, consulte essa linha no kibana usando o termo de pesquisab.alpha:awesome
. Agradável.
No entanto, agora eu tenho uma linha de log JSON como esta:
{
"different":[
{
"this": "one",
"that": "uno"
},
{
"this": "two"
}
]
}
E eu gostaria de encontrar essa linha com uma pesquisa comodifferent.this:two
(oudifferent.this:one
oudifferent.that:uno
)
Se eu estivesse usando o Lucene diretamente, iteria através dodifferent
e gere um novo índice de pesquisa para cada hash dentro dele, mas o Logstash atualmente parece ingerir essa linha assim:
diferente: {this: one, that: uno}, {this: two}
O que não vai me ajudar a procurar linhas de log usandodifferent.this
oudifferent.that
.
Alguém tem alguma opinião sobre um codec, filtro ou alteração de código que posso fazer para permitir isso?