filter - Splunk 如何从列表中排除某个值（如果存在）

Question

我有一个有效载荷的日志，如下所示：

"Stats":[        { 
           errors: 0
           type: "Disc"
           success: 878
         },
         {
           errors: 21
           type: "cronJob"
           success: 25
         },
         { 
           errors: 0
           type: "File"
           success: 8787
         },
         { 
           errors: 15
           type: "Unknown"
           success: 0
         }]

我需要摆脱“未知”类型对象并获得剩余值的总和

我能够得到所有错误的总和，但对于类型为 Unknown 的事件，我不知道该怎么做。能否请你帮忙？

<search>|rename Stats{}.type= as type|eventstats sum(errors)  as ErrorCount

这是我目前的搜索，不排除未知类型。如何合并逻辑以排除未知计数

score 1 · Accepted Answer

<search>|rename Stats{}.type= as type | where type != "Unknown" | eventstats sum(errors)  as ErrorCount

score 0 · Accepted Answer

JSON 有效负载被视为多值字段

所以你需要mvexpand在过滤掉你想忽略的东西之前

尝试这样的事情：

index=ndx sourcetype=srctp Stats{}.type=*
| rename Stats{}.type as type
| mvexpand type
| search NOT type="Unknown"
| ...

filter - Splunk 如何从列表中排除某个值（如果存在）

2 回答 2

Related

Reference