所以我试图通过python splunk查询导出到elasticsearch。我正在使用python中的json.dump()功能,该功能可以正常运行并进行转换,就像SPLUNK Web的转换功能一样。但是,我的问题是它给了我一个名为_RAW的字段,并带有管道“ |”信息,因此弹性搜索不会看到各个字段,而是将所有字段聚集在一起,就像这样:
Data| nameId="123123" | exampleID='1234123' | fieldName="Example" ....etc
我希望能够拥有一个“数据”字段或一个“字段名”字段,而不是将所有字段都集中到一个名为“原始”的大字段中
答案 0 :(得分:2)
要删除_raw字段,可以在搜索结束时使用| fields - _raw。
如果这样做没有帮助,您可能需要发布代码,因为我们可能需要更多上下文
答案 1 :(得分:0)
将| Fields *附加到查询的末尾可以得到所需的内容。我正在运行一个查询splunk的python脚本,但它以快速模式运行而不是冗长,因此我需要的字段以_raw格式存在,并且没有像冗长的那样单独显示。