0

我想计算特定 JSON 结构的出现次数。例如,在我的事件中,有一个名为dataJSON 的字段。但是这个领域可以有多种结构。喜欢:

data = {a: "b"}
data= {d: "x", h: "e"} 
...

现在我想知道每个 JSON 结构有多少事件有数据,我不关心值,只有键很重要。

4

1 回答 1

0

尝试以下 2 之一:

index=ndx sourcetype=srctp data=*
| stats dc(data) as unique_data

或者

index=ndx sourcetype=srctp data=*
| stats values(data) as data_vals
于 2021-02-03T22:05:49.257 回答