Question

我以下列格式从API接收JSON：

[
    {
    "scId": "000DD2",
    "sensorId": 2,
    "metrics": [
        {
            "s": 5414,
            "dateTime": "2018-02-02T13:03:30+01:00"
        },
        {
            "s": 5526,
            "dateTime": "2018-02-02T13:04:56+01:00"
        },
        {
            "s": 5631,
            "dateTime": "2018-02-02T13:06:22+01:00"
        }
}, .... ]

目前正试图在线性图表上显示这些指标，其中包含X轴的日期时间和＆＃34; s＆＃34;对于Y。

我使用以下搜索查询：

index="main" source="rest://test3" | spath input=metrics{}.s| mvexpand metrics{}.s
| mvexpand metrics{}.dateTime | rename metrics{}.s as s 
| rename metrics{}.dateTime as dateTime| table s,dateTime

我收到的格式如下，不适用于线性图表。关键是 - 如何正确解析JSON以将日期时间从JSON中的dateTime字段应用到Splunk中的_time。

Query results

Answer 1

@Max Zhylochkin，

你可以试试下面的搜索吗？

index="main" source="rest://test3" 
| spath input=metrics{}.s 
| mvexpand metrics{}.s 
| mvexpand metrics{}.dateTime 
| rename metrics{}.s as s 
| rename metrics{}.dateTime as dateTime 
| table s,dateTime
| eval _time = strptime(dateTime,"%Y-%m-%dT%H:%M:%S.%3N")

由于

如何解析Splunk中的JSON指标数组

1 个答案: