我正在尝试查询
| makeresults | eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}" | spath
这将返回表,如下面的Splunk中所述。
records{}.name records().value
name salad
worst_food Tammy
ex-wife
但是我期望像
这样的价值 records{}.name records().value
name
worst_food salad
ex-wife Tammy
有人遇到过这个问题吗?您能否分享一些有关如何得出预期结果的知识。
答案 0 :(得分:1)
@Dhana
可以请您试试吗?
| makeresults
| eval _raw="{\"records\":[{\"Name\":\"name\"},{\"Name\":\"worst_food\",\"Value\":\"salad\"},{\"Name\":\"ex-wife\",\"Value\":\"Tammy\"}]}"
| spath path=records{} output=records | mvexpand records | rename records as _raw | kv | table Name Value
谢谢