"_jsonparsefailure"

Bonjour,

On m'a demandé de supprimer les logs contenant le tag "_jsonparsefailure", et j'ai lu dans un autre topic le conseil suivant :

je pense qu'il faut seulement utiliser le codec json

Or dès que je met ma configuration comme ceci :

 input {
  tcp {
    port => 5143
    tags => [ "tcpjson" ]
    type => "nxlog"
    codec => "json"
    }
  }
}

J'ai un message d'erreur qui s'affiche lorsque je lance logstash, et dès que je change "codec => "json" en codec => line { charset => "UTF-8" le problème n'est plus là mais j'ai toujours le "_jsonparsefailure"

Comment puis-je faire ?

Un exemple de JSON en entrée peut-être ?

Comment ça ?

Je ne m'y connais pas très bien, voir presque pas en JSON, donc ...

Comme ceci ? :

"message" => "{\\\"EventTime\\\":\\\"2017-02-17 09:39:33\\\",\\\"Hostname\\\":\\\"xxxx00051.xxxxxxx.local\\\",\\\"Keywords\\\":-9223372036854775792,\\\"EventType\\\":\\\"INFO\\\",\\\"SeverityValue\\\":2,\\\"Severity\\\":\\\"INFO\\\",\\\"EventID\\\":1,\\\"SourceName\\\":\\\"Microsoft-Windows-Kernel-General\\\",\\\"ProviderGuid\\\":\\\"{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}\\\",\\\"Version\\\":1,\\\"Task\\\":0,\\\"OpcodeValue\\\":0,\\\"RecordNumber\\\":503919,\\\"ProcessID\\\":1996,\\\"ThreadID\\\":1184,\\\"Channel\\\":\\\"System\\\",\\\"Domain\\\":\\\"AUTORITE NT\\\",\\\"AccountName\\\":\\\"Syst\\xE8me\\\",\\\"UserID\\\":\\\"Syst\\xE8me\\\",\\\"AccountType\\\":\\\"User\\\",\\\"Message\\\":\\\"L’heure système est passée de ‎2017‎-‎02‎-‎17T08:32:52.968943900Z à ‎2017‎-‎02‎-‎17T08:39:33.439000000Z.\\\\r\\\\n\\\\r\\\\nRaison de la modification : Une application ou un composant système a modifié l’heure.\\\",\\\"Opcode\\\":\\\"Informations\\\",\\\"NewTime\\\":\\\"2017-02-17T08:39:33.439000000Z\\\",\\\"OldTime\\\":\\\"2017-02-17T08:32:52.968943900Z\\\",\\\"Reason\\\":\\\"1\\\",\\\"EventReceivedTime\\\":\\\"2017-02-17 09:41:30\\\",\\\"SourceModuleName\\\":\\\"eventlog\\\",\\\"SourceModuleType\\\":\\\"im_msvistalog\\\"}\\r",
      "@version" => "1",
    "@timestamp" => "2017-02-17T08:36:21.448Z",
          "host" => "192.168.x.x",
          "port" => 53495,
          "type" => "nxlog",
          "tags" => [
        [0] "tcpjson",
        [1] "_jsonparsefailure"
    ]
}

Bah tu essayes de parser quelque chose qui entre dans Logstash avec un code JSON. Donc je suppose que tu envoies quelque chose sur le port 5143 en TCP qui ressemble à un document JSON.

Qu'envoies-tu sur le port 5143 exactement?

J'ai mis en place le service NXLog qui envoie les logs Windows de différentes machines sur le port 5143, mais ce que je trouve étrange, c’est le fait que certains logs sont très bien parser et d'autres ont le problème du jsonparse

Aucune idée. Peut-être y a t'il un mode debug dans logstash pour tracer ce que reçoit le input?

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.