我需要一些帮助才能将JSON数组解析为splunk中的表。在splunk中有低于JSON数据
data="[
{
'environment':test,
'name':Java,
'date':28-01-2018
},
{
'environment':prod,
'name':Javascript,
'date':28-01-2019
}
]"
我期待输出为
*******************************
Environment | name | date
*******************************
test | Java | 28-01-2018
prod | Javascript | 28-01-2019
感谢任何帮助。
此致
答案 0 :(得分:0)
看起来您必须修改日志以具有正确的JSON结构。
之后,您可以使用spath命令来解释并从JSON获取值。这是示例溶液
| makeresults
| eval _raw="data=\"[{\"environment\":\"test\",\"name\":\"Java\",\"date\":\"28-01-2018\"},{\"environment\":\"prod\",\"name\":\"Javascript\",\"date\":\"28-01-2019\"}]\""
| rex field=_raw "data=\"(?<data>.*)\""
| spath input=data
| table {}.date, {}.environment, {}.name
答案 1 :(得分:-1)
使用 spath
应该相当简单your search base |spath input=data