想象一下,有数千个JSON条目,我想通过键/值对关联对象。
条目#44
{
speed: 55,
distance: 18,
time: 1481216486,
color: red,
}
条目#323
{
speed: 75,
distance: 38,
time: 1481216486,
color: blue,
}
搜索:sourcetype=test_drive (DO THE MAGIC) | eval first_distance=distance(#44) | eval second_distance=distance(#323) | table time first_distance(#323) second_distance(#44)
所以基本上我试图通过键/值找到一个条目对,并使用另一个键/值对来创建一个表。
答案 0 :(得分:2)
您想在此处使用事务过滤器http://docs.splunk.com/Documentation/Splunk/6.5.1/SearchReference/Transaction。这不会在_raw中优雅地合并你的json,但它会使属性可用于查询/图表。
在此示例中,我假设您要按时间属性合并事件,因为这是唯一匹配的字段。
sourcetype=test_drive (DO THE MAGIC) | eval first_distance=distance(#44) | eval second_distance=distance(#323) | transaction time | table time first_distance(#323) second_distance(#44)