Sumologic -将JSON数组拆分为多个记录

Question

我在HTTP post中将JSON数组对象作为

{"level":"INFO"，"data"："Test 1"}，{"level":"INFO"，"data"："Test 2"}

此消息在Sumo中被视为1个对象/日志消息。如何告诉SumoLogic将每个JSON对象视为独立的对象，并显示2条日志消息而不是1条？

Answer 1

我相信这不能用json操作符来完成。但是，让我们看看the docs for the "parse regex" operator。有一个名为"multi“的选项，它为正则表达式的每个匹配创建一条新消息。在您的例子中，类似这样的代码可能会起到作用：

parse regex "\{?<fieldname>.*?\}" multi

我没有在产品本身中尝试过，但这里是Regex101 link to play with the regex。

Answer 2

我认为解决这个问题的实际答案是不要将日志作为数组发送。取而代之的是，在主体中包含每个json对象，并在末尾加上'\n‘，以便Sumo将这些对象视为单独的日志消息。

{"level":"INFO","data": "Test 1"}\n
{"level":"INFO","data": "Test 2"}\n