2

我有一个像这样的 json 格式的日志事件

{
   "level":"level  name",
   "exception":"exception message",
   "logger":"com.log",
   "thread":"thread name",
   "message":"exception message",
   "properties":{
      "id":"1234",
      "process":"Process name,
      "host":"host name",
      "type":"type name"
   }
}

我需要一个 splunk 查询来获取主机内部属性作为值,以便在表中获取它。请帮我。

4

2 回答 2

1

你已经尝试过什么?

怀疑这(或类似的)会起作用,假设 Splunk 已经将此数据识别为 JSON 格式:

index=ndx sourcetype=srctp properties{}.host=*
| rename properties{}.host as hostname
| stats count by hostname
于 2020-09-10T16:58:20.690 回答
0

看看你已经尝试过的东西会有所帮助,所以我们不建议一些不起作用的东西。
可能有几种方法可以做到这一点,但这是其中之一。

... | rex "host\":\"(?<hostName>[^\"]+)"
| table hostName

注意我特地没有将字段称为“主机”以避免与同名的内置字段冲突。

于 2020-09-10T12:57:38.670 回答