"_jsonparsefailure"

Brendao · February 17, 2017, 8:58am

Bonjour,

On m'a demandé de supprimer les logs contenant le tag "_jsonparsefailure", et j'ai lu dans un autre topic le conseil suivant :

je pense qu'il faut seulement utiliser le codec json

Or dès que je met ma configuration comme ceci :

 input {
  tcp {
    port => 5143
    tags => [ "tcpjson" ]
    type => "nxlog"
    codec => "json"
    }
  }
}

J'ai un message d'erreur qui s'affiche lorsque je lance logstash, et dès que je change "codec => "json" en codec => line { charset => "UTF-8" le problème n'est plus là mais j'ai toujours le "_jsonparsefailure"

Comment puis-je faire ?

dadoonet · February 17, 2017, 9:09am

Un exemple de JSON en entrée peut-être ?

Brendao · February 17, 2017, 9:17am

Comment ça ?

Je ne m'y connais pas très bien, voir presque pas en JSON, donc ...

Brendao · February 17, 2017, 9:19am

Comme ceci ? :

"message" => "{\\\"EventTime\\\":\\\"2017-02-17 09:39:33\\\",\\\"Hostname\\\":\\\"xxxx00051.xxxxxxx.local\\\",\\\"Keywords\\\":-9223372036854775792,\\\"EventType\\\":\\\"INFO\\\",\\\"SeverityValue\\\":2,\\\"Severity\\\":\\\"INFO\\\",\\\"EventID\\\":1,\\\"SourceName\\\":\\\"Microsoft-Windows-Kernel-General\\\",\\\"ProviderGuid\\\":\\\"{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}\\\",\\\"Version\\\":1,\\\"Task\\\":0,\\\"OpcodeValue\\\":0,\\\"RecordNumber\\\":503919,\\\"ProcessID\\\":1996,\\\"ThreadID\\\":1184,\\\"Channel\\\":\\\"System\\\",\\\"Domain\\\":\\\"AUTORITE NT\\\",\\\"AccountName\\\":\\\"Syst\\xE8me\\\",\\\"UserID\\\":\\\"Syst\\xE8me\\\",\\\"AccountType\\\":\\\"User\\\",\\\"Message\\\":\\\"L’heure système est passée de ‎2017‎-‎02‎-‎17T08:32:52.968943900Z à ‎2017‎-‎02‎-‎17T08:39:33.439000000Z.\\\\r\\\\n\\\\r\\\\nRaison de la modification : Une application ou un composant système a modifié l’heure.\\\",\\\"Opcode\\\":\\\"Informations\\\",\\\"NewTime\\\":\\\"2017-02-17T08:39:33.439000000Z\\\",\\\"OldTime\\\":\\\"2017-02-17T08:32:52.968943900Z\\\",\\\"Reason\\\":\\\"1\\\",\\\"EventReceivedTime\\\":\\\"2017-02-17 09:41:30\\\",\\\"SourceModuleName\\\":\\\"eventlog\\\",\\\"SourceModuleType\\\":\\\"im_msvistalog\\\"}\\r",
      "@version" => "1",
    "@timestamp" => "2017-02-17T08:36:21.448Z",
          "host" => "192.168.x.x",
          "port" => 53495,
          "type" => "nxlog",
          "tags" => [
        [0] "tcpjson",
        [1] "_jsonparsefailure"
    ]
}

dadoonet · February 17, 2017, 9:45am

Bah tu essayes de parser quelque chose qui entre dans Logstash avec un code JSON. Donc je suppose que tu envoies quelque chose sur le port 5143 en TCP qui ressemble à un document JSON.

Qu'envoies-tu sur le port 5143 exactement?

Brendao · February 17, 2017, 9:52am

J'ai mis en place le service NXLog qui envoie les logs Windows de différentes machines sur le port 5143, mais ce que je trouve étrange, c’est le fait que certains logs sont très bien parser et d'autres ont le problème du jsonparse

dadoonet · February 17, 2017, 10:21am

Aucune idée. Peut-être y a t'il un mode debug dans logstash pour tracer ce que reçoit le input?

system · March 17, 2017, 10:21am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.