用splunk绘制从json字符串字段中提取的键数表
用splunk绘制从json字符串字段中提取的键数表
提问于 2020-11-10 13:05:02
我想使用splunk从我的服务的负载日志中绘制一张图,以突出显示查询参数的类型。日志的格式如下:
2020-11-10 04:46:57.471 INFO InfoType="payload" request="{"queryParams":{"field1":"26453451364"}}"
2020-11-10 04:46:57.471 INFO InfoType="payload" request="{"queryParams":{"field2":"71362547612531"}}"
2020-11-10 04:46:57.471 INFO InfoType="payload" request="{"queryParams":{"field3":"71547612531", "field4":"7136254761"}}"对于以上内容,我希望输出如下所示:
Query Param | Count
--------------------
field1 | 1
--------------------
field2 | 1
--------------------
field3,field4 | 1我用spath试了很多,但我不能让它工作。
| makeresults
| eval _raw="2020-11-10 04:46:57.471 INFO InfoType=\"payload\" request=\"{\"queryParams\":{\"field1\":\"26453451364\"}}\""
| spath input=request path={}.queryParams任何关于如何继续或我做错了什么的帮助都将是非常有帮助的。提前感谢并致以问候。
回答 1
Stack Overflow用户
发布于 2020-11-11 03:20:32
您的JSON似乎具有多值字段
先尝试使用mvexpand:
index=ndx sourcetype=srctp
| mvexpand queryParams
| stats count by queryParams
| rename queryParams as "Query Param"页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64763178
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号