json logstash 解析失败 ctrl-code 1

"问题：
从windows 通过flume传输到kafka的日志（GBK），然后再logstash 消费，用json 解析。有些日志解析报错：ctrl-code 1(SOH 文本头)。
分析：
在终端上用gbk编码查看会有 方框的字符，可以判断该字符就是json 无法识别的控制字符（SOH）。
但是不知道kafka消费的时候显示成什么字符，如果知道这个（SOH）然后替换成，json 可以解析的字符就可以了。

解决办法：
在日志里发现每一个（SOH）处，都显示为\u0001,这是16进制的ascll code 1。和控制字符的code1也是对应的，断定（SOH)被解析成\u0001这个字符。
input kafka中之前都是直接codec => json{charset =>[""GBK""]},相当于在消费的时候先进行json 解析，这样很无力，一直报错。

换个思路：
1，先无格式plain消费，然后把SOH(\u0001)
2，替换成空格（因为soh无意义，替换成空格不影响源信息）gsub =>["message","\u0001"," "]，
3，再用 json {source => ""message""} 进行解析，这样就可以了。
--------------------------配置信息---------------------------------
input {
kafka {
bootstrap_servers => ""ZBSZ1-LOG-KFK01:9092,ZBSZ1-LOG-KFK02:9092,ZBSZ1-LOG-KFK03:9092""
group_id => ""es-rzrqbp02""
topics_pattern => ""rzrqbp-C010001""
value_deserializer_class => ""org.apache.kafka.common.serialization.ByteArrayDeserializer"" #源字节编码转换器，因为一直以GBK编码传输
codec => plain{charset => [""GBK""]}
#codec => json
}
}
filter {
mutate {
convert => { ""[indicator][usedtime]"" => ""integer"" }
gsub =>[""message"",""\u0001"","" ""]
}
json {
source => ""message""
}
date {
match => [""[time_stamp]"",""UNIX_MS""]
target => ""@timestamp""
}

}

output {
elasticsearch {
hosts => [""ZBSZ1-LOG-ES01:9200"", ""ZBSZ1-LOG-ES02:9200"", ""ZBSZ1-LOG-ES03:9200""]
index => ""app-rzrqbp-%{+YYYY.MM.dd}""
document_id => ""%{[indicator][msgid]}""
}

}
"

转载于:https://blog.51cto.com/11209357/2059041