Splunk-запрос для извлечения значения из события журнала json и получения его в таблице

Question

Splunk-запрос для извлечения значения из события журнала json и получения его в таблице

У меня есть событие журнала, полученное в формате json, подобном этому

{
   "level":"level  name",
   "exception":"exception message",
   "logger":"com.log",
   "thread":"thread name",
   "message":"exception message",
   "properties":{
      "id":"1234",
      "process":"Process name,
      "host":"host name",
      "type":"type name"
   }
}

Мне нужен splunk-запрос, чтобы получить хост внутри свойств в качестве значения, чтобы получить его в таблице. Пожалуйста, помогите мне.

2

json splunk splunk-query splunk-hec

Источник

user3800421 10 сен '20 в 12:34

2 ответа

Другие вопросы по тегам json splunk splunk-query splunk-hec

user4418 10 сен '20 в 19:58 2020-09-10 19:58 · Answer 1 · 2020-09-10 19:58

Что вы уже пробовали?

Я подозреваю, что это (или подобное) сработает, если предположить, что Splunk идентифицировал эти данные как уже находящиеся в формате JSON:

index=ndx sourcetype=srctp properties{}.host=*
| rename properties{}.host as hostname
| stats count by hostname

1

Источник

user4418 10 сен '20 в 19:58

user2227420 10 сен '20 в 15:57 2020-09-10 15:57 · Answer 2 · 2020-09-10 15:57

Было бы полезно увидеть, что вы уже пробовали, поэтому мы не предлагаем то, что не работает.
Вероятно, есть несколько способов сделать это, но вот один из них.

... | rex "host\":\"(?<hostName>[^\"]+)"
| table hostName

Обратите внимание, что я специально не называл поле host, чтобы избежать конфликта со встроенным полем с таким же именем.