我有一个名为“30 Jan 2020.json”的文件,其中包含 2 条记录:
[
{
"Sender": "John",
"Recipient": "Alice",
"Subject": "Hello",
"MessageDate": "10 Jan 2020"
},
{
"Sender": "Jane",
"Recipient": "Bob",
"Subject": "Holiday"
"MessageDate": "15 Jan 2020"
}
]
我的 props.conf 文件是
[_json_for_azure]
INDEXED_EXTRACTIONS = json
KV_MODE = json
LINE_BREAKER = ([\r\n]+)
NO_BINARY_CHECK = true
category = Structured
description = JavaScript Object Notation format. For more information, visit http://json.org/
disabled = false
pulldown_type = 1
在inputs.conf中我指定了
[mscs_storage_blob://mycontainer]
account = mycontainername
blob_mode = append
collection_interval = 60
container_name = mycontainer
sourcetype = mscs:storage:json
但是当这些数据被摄取时,我只得到名为 _Time 的条目,当我展开其中任何一个时,它们将所有记录 json 显示为单个字符串作为行。我希望将每个发件人、收件人、主题等实际数据作为单独的条目提取。因此,当我搜索单个发件人(例如 John)时,我只希望返回单行,而不是返回整个文件内容。这是使用 Azure Splunk 插件时的行为。当我通过主菜单中的“添加数据”选项直接加载文件时,文件被正确解析为单个条目。