将嵌套的JSON数组解析为Splunk表
我在splunk中有以下带有嵌套数组的JSON事件-:
{
"items":
[
{
"parts":
[
{
"code":"1","var":"","pNum":"101","counter":1019
},
{
"code":"0","var":"","pNum":"102","counter":1029
}
],
"se":"A1",
"so":"111"
},
{
"parts":
[
{
"code":"1","var":"","pNum":"301","counter":3019
},
{
"code":"0","var":"","pNum":"302","counter":3029
}
],
"se":"A3",
"so":"333"
},
{
"parts":
[
{
"code":"0","var":"","pNum":"401","counter":4019
}
],
"se":"A4",
"so":"444"
},
{
"parts":
[
{
"code":"1","var":"","pNum":"501","counter":5019
}
],
"se":"A5",
"so":"555"
}
],
"id":"x.9110790",
"cr":"x-273169"
}
我想将此JSON提取到下面的Splunk表-:
我试图按如下方式使用spath,但它只会给出以下错误的结果-:
|制造商|评估_raw =“ { \“项目\”: [ { \“部分\”: [ { \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 101 \”,\“计数器\”:1019 }, { \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 102 \”,\“计数器\”:1029 } ], \“ se \”:\“ A1 \”, \“ so \”:\“ 111 \” }, { \“部分\”: [ { \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 301 \”,\“计数器\”:3019 }, { \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 302 \”,\“计数器\”:3029 } ], \“ se \”:\“ A3 \”, \“ so \”:\“ 333 \” }, { \“部分\”: [ { \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 401 \”,\“计数器\”:4019 } ], \“ se \”:\“ A4 \”, \“ so \”:\“ 444 \” }, { \“部分\”: [ { \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 501 \”,\“计数器\”:5019 } ], \“ se \”:\“ A5 \”, \“ so \”:\“ 555 \” } ], \“ id \”:\“ x.9110790 \”, \“ cr \”:\“ x-273169 \” }“ | spath |将项目重命名为* |表ID,cr,项目{}。*
我正在尝试首次解析JSON类型的splunk日志。因此,请提供任何提示来解决此问题。 谢谢
1 个答案:
答案 0 :(得分:0)
@Kripz
可以请您尝试搜索吗?
|结果eval _raw =“ {\” items \“:[{\” parts \“:[{ \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 101 \”,\“计数器\”:1019},{ \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 102 \”,\“ counter \”:1029}], \“ se \”:\“ A1 \”,\“ so \”:\“ 111 \”},{\“ parts \”:[{ \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 301 \”,\“计数器\”:3019},{ \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 302 \”,\“计数器\”:3029}], \“ se \”:\“ A3 \”,\“ so \”:\“ 333 \”},{\“ parts \”:[{ \“ code \”:\“ 0 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 401 \”,\“计数器\”:4019}], \“ se \”:\“ A4 \”,\“ so \”:\“ 444 \”},{\“ parts \”:[{ \“ code \”:\“ 1 \”,\“ var \”:\“ \”,\“ pNum \”:\“ 501 \”,\“计数器\”:5019}], \“ se \”:\“ A5 \”,\“ so \”:\“ 555 \”}],\“ id \”:\“ x.9110790 \”, \“ cr \”:\“ x-273169 \”}“ | kv | spath path = items {} output = items | mvexpand项目|栏位ID项目|评估 raw = items | kv |改名 零件{}。*作为零件 * |评估 temp = mvzip(mvzip(Parts_code,Parts_counter),Parts_pNum)| mvexpand temp | eval Parts_code = mvindex(split(temp,“,”),0) ,Parts_counter = mvindex(split(temp,“,”),1),Parts_pNum = mvindex(split(temp,“,”),2) |表格ID本身就是这样,所以Parts_code Parts_var Parts_counter Parts_pNum
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?