我正在开发环境中记录请求参数,以更好地跟踪(并重现)问题。当请求具有此类参数时,它将使用JSON填充。
该字段名为req_params。
如何搜索具有该字段并且在该字段中具有特定键的请求?
我已经尝试过了:
source:dev-http-* AND _exists_:req_params
这将返回所有包含req_params的内容。但是,如果我仅将查询修改为具有field_one的请求,则不会返回任何内容:
source:dev-http-* AND _exists_:req_params AND req_params:field_one
使用第二个查询,即使我看到第一个查询的结果中包含field_one的结果也不会返回任何内容。
示例req_params字段如下所示(并应在第二个查询中返回):
{'field_two': 17,'field_one':'pickles','field_three':'A longer string here'}
一个示例,其中field_one不在req_params中,并且不应在第二个查询中返回(但仍会出现在第一个查询中,因为存在req_params)
{'field_four': 'Airplanes go fast'}
我如何处理搜索查询以找到其中req_params包含field_one键的日志条目?